S2 Grupo

Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2023 S2 Grupo

admin

Vulnerabilidades críticas en productos Cisco

INTRODUCCIÓN

Cisco ha publicado actualizaciones de software para solucionar las vulnerabilidades críticas encontradas en sus productos.

ANÁLISIS

Múltiples vulnerabilidades en los routers de las series RV160, RV260, RV340 y RV345 de Cisco Small Business podrían permitir a un atacante remoto no autentificado ejecutar código arbitrario o provocar una condición de denegación de servicio (DoS) en un dispositivo afectado. Estas vulnerabilidades son dependientes entre sí. La explotación de una de las vulnerabilidades puede ser necesaria para explotar otra vulnerabilidad.

CVE-2022-20842: Vulnerabilidad de ejecución remota de código y denegación de servicio en los routers Cisco Small Business RV Series

Esta vulnerabilidad se debe a la insuficiente validación de la entrada suministrada por el usuario a la interfaz de gestión basada en la web. Un atacante podría aprovechar esta vulnerabilidad enviando una entrada HTTP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o hacer que el dispositivo se recargue, lo que resulta en una condición de DoS. Puntuación de base CVSS: 9,8.

CVE-2022-20827: Vulnerabilidad de inyección de comandos en la actualización de la base de datos del filtro web de los routers de la serie RV de Cisco Small Business

Esta vulnerabilidad se debe a una validación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad enviando una entrada manipulada a la función de actualización de la base de datos del filtro web. Una explotación exitosa podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de root. Puntuación de base CVSS: 9.0.

RECOMENDACIONES

Se insta a los usuarios afectados a actualizar los productos vulnerables a su última versión.

REFERENCIAS

https://www.csa.gov.sg/en/singcert/Alerts/al-2022-034
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-mult-vuln-CbVp4SUR

Vulnerabilidades Críticas en Productos NETGEAR

INTRODUCCIÓN

NETGEAR ha publicado dos nuevas vulnerabilidades críticas. Las vulnerabilidades no tienen un código CVE asignado.

ANÁLISIS

NETGEAR ha descubierto que existen dos vulnerabilidades en algunos de sus productos. Ambas vulnerabilidades tienen una puntuación CVSS de 9.6.

Una vulnerabilidad de seguridad de bypass de autenticación:

  • RBK852, que ejecuta versiones de firmware anteriores a la 3.2.17.12
  • CBR40, con versiones de firmware anteriores a la 2.5.0.28
  • RBK752, con versiones de firmware anteriores a la 3.2.17.12
  • CBR750, con versiones de firmware anteriores a 4.6.3.6
  • RBR750, con versiones de firmware anteriores a la 3.2.17.12
  • RBR850, con versiones de firmware anteriores a la 3.2.17.12
  • RBS750, con versiones de firmware anteriores a la 3.2.17.12
  • RBS850, con versiones de firmware anteriores a la 3.2.17.12

Una vulnerabilidad de inyección de comandos de preautenticación:

  • RBK852, con versiones de firmware anteriores a la 3.2.17.12
  • CAX80, con versiones de firmware anteriores a la 2.1.3.1
  • D7800, con versiones de firmware anteriores a la 1.0.1.64
  • EX6150v2, con versiones de firmware anteriores a la 1.0.1.106
  • EX6250, con versiones de firmware anteriores a la 1.0.0.146
  • EX6410, con versiones de firmware anteriores a la 1.0.0.146
  • EX7320, con versiones de firmware anteriores a la 1.0.0.146
  • EX7700, con versiones de firmware anteriores a la 1.0.0.216
  • EX8000, con versiones de firmware anteriores a la 1.0.1.232
  • MK62, con versiones de firmware anteriores a la 1.0.6.116
  • LBR20, con versiones de firmware anteriores a la 2.6.3.50
  • RBK752, con versiones de firmware anteriores a la 3.2.17.12
  • R7800, con versiones de firmware anteriores a la 1.0.2.84
  • R8900, con versiones de firmware anteriores a la 1.0.5.36
  • R9000, con versiones de firmware anteriores a la 1.0.5.36
  • RAX20, con versiones de firmware anteriores a la 1.0.10.110
  • RAX40, con versiones de firmware anteriores a la 1.0.3.94
  • RAX45, con versiones de firmware anteriores a la 1.0.3.96
  • RAX120, con versiones de firmware anteriores a la 1.2.1.22
  • XR450, con versiones de firmware anteriores a la 2.3.2.114
  • XR500, con versiones de firmware anteriores a la 2.3.2.114
  • XR700, con versiones de firmware anteriores a la 1.0.1.44
  • CBR750, con versiones de firmware anteriores a la 3.2.18.2
  • LBR1020, con versiones de firmware anteriores a la 2.6.3.58
  • RAX10, con versiones de firmware anteriores a 1.0.3.92
  • RAX70, con versiones de firmware anteriores a la 1.0.3.92
  • RAX78, con versiones de firmware anteriores a la 1.0.3.92
  • RBK352, con versiones de firmware anteriores a la 4.4.0.10
  • EX6400v2, con versiones de firmware anteriores a la 1.0.0.146
  • EX6420, con versiones de firmware anteriores a la 1.0.0.146
  • EX7300v2, con versiones de firmware anteriores a la 1.0.0.146
  • MR60, con versiones de firmware anteriores a la 1.0.6.116
  • MS60, con versiones de firmware anteriores a la 1.0.6.116
  • R6700AX, con versiones de firmware anteriores a la 1.0.3.92
  • RAX120v2, con versiones de firmware anteriores a la 1.2.1.22
  • RAX15, con versiones de firmware anteriores a la 1.0.10.110
  • RAX35, con versiones de firmware anteriores a la 1.0.3.94
  • RAX38, con versiones de firmware anteriores a la 1.0.3.94
  • RBR350, con versiones de firmware anteriores a la 4.4.0.10
  • RBR750, con versiones de firmware anteriores a la 3.2.17.12
  • RBR850, con versiones de firmware anteriores a la 3.2.17.12
  • RBS350, con versiones de firmware anteriores a la 4.4.0.10
  • RBS750, con versiones de firmware anteriores a la 3.2.17.12
  • RBS850, con versiones de firmware anteriores a la 3.2.17.12
  • RAX50, con versiones de firmware anteriores a la 1.0.3.96
  • RAX43, con versiones de firmware anteriores a la 1.0.3.96
  • RAX40v2, con versiones de firmware anteriores a la 1.0.3.96
  • RAX35v2, con versiones de firmware anteriores a la 1.0.3.96

RECOMENDACIONES

Se insta a los usuarios a actualizar sus productos NETGEAR a la última versión.

REFERENCIAS

https://kb.netgear.com/000065032/Security-Advisory-for-Authentication-Bypass-on-Some-WiFi-Systems-PSV-2020-0489
https://kb.netgear.com/000065034/Security-Advisory-for-Pre-Authentication-Command-Injection-on-Some-Routers-and-WiFi-Systems-PSV-2020-0502

Nueva vulnerabilidad en Samba

INTRODUCCIÓN

Samba ha publicado un aviso de seguridad en el que informa de 5 nuevas vulnerabilidades. Aunque la mayoría de ellas tienen una puntuación CVSS baja, una de ellas tiene una puntuación de 8,8 (CVE-2022-32744) que permitiría a los usuarios de Samba AD falsificar las solicitudes de cambio de contraseña de cualquier usuario.

ANÁLISIS

Los tickets recibidos por el servicio kpasswd son descifrados sin especificar que sólo se deben probar las claves propias de ese servicio. Estableciendo el nombre del servidor del ticket a una clave asociada a su propia cuenta, o explotando un fallback en el que se prueban claves conocidas hasta encontrar una adecuada, un atacante podría hacer que el servidor aceptara tickets cifrados con cualquier clave, incluida la suya.

Un usuario podría así cambiar la contraseña de la cuenta de administrador y obtener el control total del dominio. Sería posible la pérdida total de la confidencialidad e integridad, así como de la disponibilidad al negar a los usuarios el acceso a sus cuentas.

Además, el servicio kpasswd acepta tickets cifrados por la clave krbtgt de un RODC, a pesar de que los RODCs no deberían poder autorizar cambios de contraseña.

Versiones afectadas:

  • Samba 4.3 y posteriores

RECOMENDACIONES

Se han publicado parches que solucionan este problema en https://www.samba.org/samba/security/

Además, kpasswd no es un protocolo crítico para el DC de AD en la mayoría de las instalaciones, por lo que puede deshabilitarse estableciendo «kpasswd port = 0» en el smb.conf.

REFERENCIAS

https://www.samba.org/samba/security/CVE-2022-32744.html

El 11% de las personas que reservan sus vacaciones online han sido víctimas de ciberestafas

  • Según una encuesta realizada por la empresa de ciberseguridad S2 Grupo, el 16% de las personas que han participado en este estudio han asegurado que aunque no habían experimentado esta situación sí que conocen a alguien que lo ha sido.
  • Junto a esto, el 16%  ha afirmado que les encanta compartir las fotos de sus vacaciones en tiempo real, un 5´5% que en 2020. Este dato evidencia que, aunque cada vez hay mayor concienciación sobre la importancia de ciberprotegernos en redes sociales, todavía queda trabajo por realizar.

Valencia, 27 de julio de 2022.- La empresa valenciana S2 Grupo, especializada en ciberseguridad así como ciberinteligencia y gestión de sistemas críticos, ha realizado una encuesta sobre ciberseguridad en vacaciones. De ésta, uno de los principales datos que se extraen es que el 11% de los encuestados aseguran haber sido víctima de la ciberdelincuencia al haber reservado sus vacaciones online.

Además, el 16% afirman que, aunque no han sufrido este tipo de incidentes, tienen en su círculo cercano a personas que sí han padecido caer en las trampas de los delincuentes online.

En este ámbito, la ciberdelincuencia se ha centrado en el alquiler vacacional del alojamiento y en el alquiler de vehículos, principalmente. Para evitar caer en sus redes es importante que sigamos algunos buenos hábitos como dudar mucho de los chollazos, esto ya puede darnos una pista de que algo no va bien. O también otras recomendaciones son detectar muchos fallos ortográficos en la web, asegurarnos de que hay un teléfono de contacto o realizar una búsqueda en Google con ese alojamiento o empresa de alquiler de coches para detectar si hay opiniones negativas o denuncias al respecto”, ha explicado José Rosell, socio-director de S2 Grupo.

Otro de los puntos esenciales en relación a la ciberseguridad y las vacaciones es el tema de compartir fotos cuando estamos fuera, ya que esto puede dar mucha información de que no estamos en casa que puede ser utilizada por ciberdelincuentes.

En relación a esto, el 16% de los encuestados han respondido que sí les gusta compartir fotos en sus redes sociales en tiempo real cuando están de viaje. Sin embargo, ante la misma pregunta, la respuesta en la encuesta realizada en 2020 fue de un 21,5%. El 18% prefiere esperarse a volver a casa para compartirlas.

Estos datos son relativamente positivos porque muestran un incremento en la concienciación y cultura de la ciberseguridad en las familias. No obstante, todavía queda trabajo por hacer en este campo para usar de una forma segura la tecnología. Es importante recordar que hay que tener cuidado al usar Wi-fis públicas y no acceder a páginas personales de bancos o, incluso, redes sociales porque éstas podrían ser manipuladas por ciberdelincuentes que tendrían acceso directo a nuestros datos”, ha comentado Miguel A. Juan, socio-director de S2 Grupo.

Además, otras recomendaciones son no activar el geoposicionamiento en redes sociales, si instalamos apps turísticas revisar los permisos que piden y vigilar los que pueden ser sospechosos como el envío de mensajes SMS, o reforzar la seguridad de nuestros dispositivos instalando medidas de protección para evitar que ante un robo el ladrón pueda acceder a los datos y poder facilitar su recuperación. Por ejemplo, se puede utilizar una clave de desbloqueo compleja. Cualquier dispositivo tiene estas capacidades y aunque habitualmente no se usen, las vacaciones son un buen momento para hacerlo. Además, es aconsejable instalar una aplicación que facilite recuperarlo en caso de robo o pérdida. La mayoría de fabricantes disponen de este tipo de aplicaciones que permiten, además de localizarlo, borrar los datos remotamente y hacer otras muchas acciones.

Más información: prensa@s2grupo.es

Vulnerabilidades de acceso no autorizado en el panel de control de Cisco Nexus

INTRODUCCIÓN

Se han descubierto nuevas vulnerabilidades (CVE-2022-20857, CVE-2022-20861, CVE-2022-20858) en Cisco Nexus Dashboard que podrían permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios.

ANÁLISIS

CVE-2022-20857: La vulnerabilidad podría permitir a un atacante remoto no autenticado acceder a una API específica que se esté ejecutando en la red de datos y ejecutar comandos arbitrarios en un dispositivo afectado. La vulnerabilidad se debe a la insuficiencia de los controles de acceso a una API específica. Un atacante podría explotar esta vulnerabilidad enviando peticiones HTTP falsificadas a la API afectada. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios como usuario root en cualquier pod de un nodo. Puntuación básica de CVSS: 9.8

CVE-2022-20861: Una vulnerabilidad en la interfaz de usuario web que se ejecuta en la red de gestión de Cisco Nexus Dashboard podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de falsificación de solicitud de sitio cruzado (CSRF) en un dispositivo afectado. Esta vulnerabilidad se debe a la insuficiencia de las protecciones CSRF para la interfaz de usuario web en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un administrador autenticado de la interfaz de gestión basada en la web para que haga clic en un enlace malicioso. Una explotación exitosa podría permitir al atacante realizar acciones con privilegios de administrador en un dispositivo afectado. Puntuación básica de CVSS: 8.8

CVE-2022-20858: Esta vulnerabilidad podría permitir a un atacante remoto no autenticado acceder a un servicio que se ejecuta en las redes de datos y de gestión de un dispositivo afectado. La vulnerabilidad se debe a la insuficiencia de los controles de acceso a un servicio que gestiona imágenes de contenedores. Un atacante podría explotar esta vulnerabilidad abriendo una conexión TCP al servicio afectado. Una explotación exitosa podría permitir al atacante descargar imágenes de contenedores o cargar imágenes de contenedores maliciosas a un dispositivo afectado. Las imágenes maliciosas se ejecutarían después de que el dispositivo se reiniciara o un pod se reiniciara. Puntuación de base CVSS: 8.2

Versiones afectadas:

  • 1.1
  • 2.0
  • 2.1
  • 2.2

RECOMENDACIONES

Los usuarios deben actualizar Cisco Nexus Dashboard a la versión 2.2(1e). No hay soluciones que solucionen estas vulnerabilidades.

REFERENCIAS

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y

Vulnerabilidad de inyección de comandos en Apache Spark

INTRODUCCIÓN

Se ha encontrado una nueva vulnerabilidad de inyección de comandos en la interfaz de usuario de Apache Spark (CVE-2022-33891).

ANÁLISIS

La interfaz de usuario de Apache Spark ofrece la posibilidad de habilitar ACLs a través de la opción de configuración spark.acls.enable. Con un filtro de autenticación, se comprueba si un usuario tiene permisos de acceso para ver o modificar la aplicación. Si las ACLs están habilitadas, una ruta de código en HttpSecurityFilter puede permitir que alguien realice una suplantación de identidad proporcionando un nombre de usuario arbitrario. Un usuario malicioso podría entonces ser capaz de llegar a una función de comprobación de permisos que finalmente construirá un comando de shell Unix basado en su entrada, y lo ejecutará. Esto dará lugar a la ejecución de un comando shell arbitrario.

Versiones afectadas:

  • <=3.0.3
  • 3.1.1 a 3.1.2
  • 3.2.0 a 3.2.1

RECOMENDACIONES

Los usuarios deben actualizar Apache Spark a la versión 3.1.3, 3.2.2 o 3.3.0 o posterior.

REFERENCIAS

https://securityonline.info/cve-2022-33891-apache-spark-shell-command-injection-vulnerability/
https://nvd.nist.gov/vuln/detail/CVE-2022-33891

Vulnerabilidad RCE del sistema de archivos de red de Windows

INTRODUCCIÓN

Se ha encontrado una nueva vulnerabilidad de ejecución remota de código en el Sistema de Archivos de Red de Windows y se debe al manejo inadecuado de las peticiones NFSv4.

ANÁLISIS

Un atacante remoto puede explotar esta vulnerabilidad enviando llamadas RPC maliciosas a un servidor objetivo para lograr la ejecución de código arbitrario en el contexto de SYSTEM. Existe una vulnerabilidad de desbordamiento de búfer en la implementación de NFS en Windows. La vulnerabilidad se debe al cálculo incorrecto del tamaño de los mensajes de respuesta. CVE-2022-30136 tiene una puntuación CVSS de 9,8.

Nota: Los expertos señalaron que la explotación infructuosa de este problema puede desencadenar una caída del sistema afectado.

RECOMENDACIONES

This bug was patched by Microsoft in June 2022. Disabling NFSv4.1 will mitigate attacks. However, this could lead to a loss of functionality.

Microsoft notes the update to address this bug should not be applied unless the fix for CVE-2022-26937 is installed. Applying both updates in the appropriate order is the best method to fully address these vulnerabilities.

REFERENCIAS

https://securityaffairs.co/wordpress/133355/security/cve-2022-30136-windows-nfs-rce.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30136

La Cátedra de Cultura Empresarial de la Universitat de València impulsa su primer campus formativo fuera de España

¿Cómo actúan los ciberdelincuentes en Linkedin?

  • Desde S2 Grupo se ha destacado que grupos organizados de ciberdelincuencia internacional actúan a través de esta red social con el propósito de obtener dinero o datos a través del ciberespionaje.
  • Expertos de la compañía de ciberseguridad han advertido de que, actualmente, son numerosos los casos de phising a través de LinkedIN.
  • El modus operandi de los ciberdelincuentes en este entorno suele cumplir cuatro pasos: estudio de la víctima, aproximación a medida a ésta, generación de confianza y envío del malware.

Valencia, 12 de julio de 2022.- La empresa valenciana S2 Grupo, especializada en ciberseguridad así como ciberinteligencia y gestión de sistemas críticos, ha advertido de que cada vez es mayor la actuación de los ciberdelincuentes en redes sociales, como por ejemplo Linkedin, lo que pone en situación de vulnerabilidad a las personas y los entornos en los que trabajan.

“El objetivo de los cibercriminales siempre es el mismo, obtener dinero u obtener datos, porque la información vale mucho dinero. Muchas personas creen que los casos de phising sólo se pueden dar a través de un email que suplanta identidad y de enlaces maliciosos, pero esto no es así. Esto se ha sofisticado y también nos encontramos con casos de phising en LinkedIN, por ejemplo”, ha explicado José Rosell, socio-director de S2 Grupo.

Existen grupos de ciberdelincuencia como el coreano Lazarus que, precisamente, hacen un uso intensivo de redes como LinkedIN para generar un primer contacto con sus víctimas. Esto requiere que extrememos las precauciones en el uso de estas redes sociales para evitar caer en su trampa, muchas veces orientada hacia el ciberespcionaje”, ha afirmado Miguel A. Juan, socio-director de S2 Grupo.

El equipo de expertos de la compañía de ciberseguridad ha destacado que el modus operandi de estos grupos de cibercrimen suele ser el siguiente:

  1. En primer lugar, hacen un estudio del perfil objetivo. Analizan a la víctima para acercarse a ella “sin sospechas”. De esta forma, estudian sus intereses, su entorno, contactos, la empresa a la que pertenecen, etc.
  • El segundo paso, es realizar una aproximación a medida. “Con la víctima estudiada, se envía algún mensaje o se realiza un contacto inicial a medida. Por ejemplo, si mis intereses son X o mi trabajo es Y, en función de mi perfil, el acercamiento será adecuado a ese trabajo, intereses, perfil, etc. Esto incrementará las probabilidades de éxito”, ha asegurado José Rosell.
  • En tercer lugar, es clave la confianza. Los grupos de ciberdelincuentes inician un intercambio de mensajes que parecen inocuos para ganarse la confianza de la víctima.
  • El cuarto paso es el “delivery”. Una vez establecido el contacto, habiendo cierta confianza y seguridad en la conversación, aprovechan para realizar el envío de un código dañino. Este mensaje puede incluir adjuntos o enlaces que permitirán al ciberdelincuente el control total (por ejemplo, mediante despliegue de un RAT, software capaz de realizar tareas de espionaje y monitoreo del equipo infectado) o parcial (por ejemplo, mediante la captura de credenciales válidas) de su víctima.

Más información: prensa@s2grupo.es

Vulnerabilidad de ejecución de código arbitrario en Node.js

INTRODUCCIÓN

Node.js ha emitido un aviso debido al descubrimiento de siete nuevas vulnerabilidades.

ANÁLISIS

Entre las vulnerabilidades se encuentran 3 vulnerabilidades de HTTP request smuggling de criticidad media (CVE-2022-32213, CVE-2022-32214, CVE-2022-32215), 1 vulnerabilidad de DLL hijacking de criticidad alta (CVE-2022-32223) y 1 vulnerabilidad de ejecución de código de criticidad alta (CVE-2022-3212).

CVE-2022-3212, probablemente la más crítica, se debe a que la comprobación IsAllowedHost puede ser fácilmente eludida porque IsIPAddress no comprueba adecuadamente si una dirección IP es inválida o no. Cuando se proporciona una dirección IPv4 no válida, los navegadores realizarán peticiones DNS al servidor DNS, proporcionando un vector para un servidor DNS controlado por un atacante o un MITM que puede falsificar las respuestas DNS para realizar un ataque de rebinding y, por tanto, conectarse al depurador WebSocket, permitiendo la ejecución de código arbitrario. Esto es un bypass de CVE-2021-22884.

Versiones afectadas:

  • Todas las versiones de las versiones 18.x, 16.x y 14.x

RECOMENDACIONES

Se aconseja a los usuarios que actualicen a las últimas versiones de 18.x, 16.x y 14.x.

REFERENCIAS

https://nodejs.org/en/blog/vulnerability/july-2022-security-releases/