S2 Grupo

Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2023 S2 Grupo

Victor Lopez

Ejemplos de Ransomware: Lecciones Aprendidas de Ataques Devastadores

Echar un vistazo a los ejemplos de ransomware más famosos es útil por dos motivos: por un lado, da una idea de lo destructivos que pueden ser este tipo de ataques; y por otro lado, supone acceder a información y lecciones clave para protegerse frente a ellos.

En un ataque de ransomware, los delincuentes se ocupan de cifrar los archivos o sistemas informáticos de una víctima para luego exigir un rescate, generalmente en forma de criptomoneda como Bitcoin, a cambio de proporcionar la clave o herramienta necesaria para desbloquear los datos afectados. 

Un ataque de este tipo puede ser extremadamente devastador: desde la pérdida de acceso a datos críticos para una organización, al impacto en la productividad, posibles downtimes y sus consecuencias en terceros, además de los costos financieros y de reputación para una organización o empresa. 

Un vistazo a algunos de los  casos de ransomware más notables de los últimos años  (Pemex, Colonial Pipeline, Travelex, Hospital Clínic) supone también acceder a importantes lecciones sobre cómo prevenirlos.

Por ello, en este artículo repasamos los ejemplos de ransomware más notables para después desgranar las tres lecciones clave. No pierdas detalle.

Los ejemplos de ransomware más catastróficos

Ransomware en Pemex

El ataque de ransomware a Pemex tuvo lugar en 2019, con el compromiso de decenas de miles de equipos informáticos. La empresa se vio impedida para realizar sus actividades a un alto nivel: era imposible poner en marcha su cadena de suministro, y los sistemas de almacenamiento y distribución quedaron congelados, entre otros problemas. 

A cambio de recuperar el control y desencriptar la información, el atacante exigía el pago de un rescate de 4.9 millones de dólares en menos de 48 horas. Pemex se negó a pagarlo, lo cual supuso la publicación de importantes datos extraídos en la Deep Web, incluyendo planos de la infraestructura, datos personales de trabajadores e información de proveedores y clientes, entre otros.

Acer

En marzo de 2023, la empresa de software y hardware Acer sufrió uno de los casos de ransomware más importantes hasta la fecha, quedando expuestos 160GB de contenido clasificado. Era, además, la segunda vez que Acer se enfrentaba a un ataque de ransomware, siendo el primero en 2021. A cambio, los atacantes exigieron 50 millones de dólares, uno de los rescates más cuantiosos jamás registrados, ofreciendo un 20% de descuento si se pagaba en una fecha determinada. 

Colonial Pipeline

Colonial Pipeline es la gestora del sistema de oleoductos más grande en los Estados Unidos, encargado de suministrar alrededor del 45% del combustible en la costa Este. En 2021, fue víctima de uno de los ejemplos de ransomware más notables con devastadoras consecuencias para la empresa pero también para la economía y sociedad, provocando un aumento repentino de los precios del combustible y multitud de disrupciones en transporte de carretera y aéreo.

Perpetrado por el grupo Darkside, supuso un importante colapso del suministro de combustible en el país. Para revertirlo, se pidieron 5 millones de dólares de rescate.

Travelex

La agencia británica de cambio de divisas Travelex fue víctima de otro de los ejemplos de ransomware más importantes que puso freno a sus operaciones durante meses, pese al pago de 2.3 millones de dólares que les fueron exigidos como rescate. 

A través de vulnerabilidades de la empresa, los ciberdelincuentes lograron acceder a sus sistemas de forma oculta durante meses, descargando hasta 5 gigabytes de información comprometida, incluyendo números completos de tarjetas de crédito de los clientes de la compañía.

Tras el ataque, la empresa colapsó durante meses, además de sufrir una importante pérdida de reputación.

Hospital Clínic

Los ejemplos de ransomware a instituciones sanitarias son particularmente delicados, teniendo en cuenta el impacto que pueden tener en la salud y la vida de los pacientes. 

En el caso del Hospital Clínic de Barcelona,  el ataque tuvo lugar en marzo de 2023. Los delincuentes pidieron 4.25 millones de euros de rescate que el hospital se negó a pagar. El Hospital Clínic obligó a desprogramar 150 cirugías no urgentes, 4.000 análisis de pacientes ambulatorios y más de 11.000 citas de consultas externas. Los atacantes accedieron, además, a cuatro terabytes de información.

Lecciones aprendidas de estos ejemplos de ransomware

Cualquiera puede ser víctima de un ataque de ransomware

Los ejemplos de ransomware que acabamos de ver son ilustrativos de una realidad: todas las organizaciones, independientemente de su tamaño o industria, pueden ser víctimas de ataques de ransomware. 

Por un lado, los atacantes saben que pequeñas y medianas empresas tienen menos recursos para invertir en seguridad cibernética avanzada, lo que las hace vulnerables a los ataques de ransomware.

A su vez, la gran cantidad de datos y sistemas de las grandes corporaciones e instituciones gubernamentales las convierte en objetivos tentadores para los atacantes que buscan obtener rescates sustanciales.

Hospitales y centros de atención médica, escuelas y universidades, organizaciones sin ánimo de lucro, entidades financieras, empresas de energía o tecnológicas… La lista de organizaciones que no están exentas de los ataques de ransomware es interminable.

Como consecuencia, todas las organizaciones, sin importar su tipo o tamaño, deben tomar en serio la amenaza del ransomware y tomar medidas proactivas para protegerse.

La importancia de la prevención

Otra de las lecciones de los ejemplos de ransomware que acabamos de mencionar es la importancia de prevenir respecto a estos ataques. Por ejemplo, en el caso de Hospital Clínic, fue clave que la organización contara con copias de seguridad de confianza para restablecer el acceso de forma pronta y segura.

Ya que los ataques de ransomware suponen una amenaza compleja, las organizaciones deben tratar de gestionarlos desde un enfoque proactivo, es decir, fortaleciendo su ciberseguridad antes de que aparezcan las amenazas. A su vez, es importante estar preparado para responder adecuadamente en caso de un ataque y promover la ciberresiliencia.

Involucrar a profesionales especializados en ciberseguridad es crucial

Implicar a profesionales de seguridad, tanto en la prevención como respuesta a los ataques de ransomware resulta esencial.  

Gracias a sus conocimientos especializados en la detección, respuesta y mitigación de este tipo de ataques, es posible que las organizaciones se protejan frente al ransomware, como hemos visto en algunos de los ejemplos de ransomware que, incluso siendo catastróficos, pudieron mitigar los efectos.

Los profesionales en ciberseguridad pueden ocuparse de asuntos como:

  • Generación de protocolos de protección y prevención efectivos
  • Evaluación de la situación frente a un ataque
  • Coordinación de partes interesadas
  • Restauración de sistemas tras el ataque
  • Reducción de riesgos legales y financieros

En S2 Grupo, ofrecemos protección integral frente a ciberataques, incluyendo los casos de ransomware, a través de nuestro grupo de trabajo en S2CERT. Este Centro de Operaciones de Ciberseguridad de S2 Grupo es desde 2007 uno de los SOC más modernos, sosteniendo procesos operativos 24 horas al día los 365 días del año y con un grupo de profesionales altamente especializados y dedicados a garantizar la protección de nuestros clientes frente a ciberamenazas.

¿Quieres saber más sobre cómo proteger a tu organización frente a los peligros del mundo digital? Descarga nuestro informe ‘Panorama del ransomware 2023’ o ponte en contacto con nosotros para hablar con nuestro equipo sobre cómo podemos ayudarte.

Ciberseguridad para empresas: ¿cuáles son los problemas más habituales?

En los últimos años, la ciberseguridad para empresas se ha transformado en una serie de prácticas indispensables para proteger los activos digitales de las organizaciones.

El contexto actual exige a las compañías la máxima alerta y preparación en ciberseguridad. Ante un panorama dinámico y complejo, deben adoptar un enfoque proactivo, implementando medidas de seguridad sólidas, actualizando regularmente sus sistemas y sensibilizando a su personal sobre las mejores prácticas de seguridad cibernética. 

En este sentido, queremos hacer un breve repaso a las principales amenazas en  ciberseguridad en la empresa y a una serie de buenas prácticas a aplicar. 

Los problemas de ciberseguridad en empresas más importantes

El contexto actual en ciberseguridad para empresas es el del cambio continuo. Esto, como es lógico, exige a las organizaciones estar constantemente alerta e implementar sistemas de protección flexibles y actualizados. 

Frente a esto, seis de cada diez empresas en España revisan al menos la mitad del total de sus aplicaciones o dispositivos críticos en busca de amenazas. Estas cifras desvelan una brecha importante: hay un 40% de empresas que continúa sin hacer estas auditorías. 

Mientras tanto, los ciberataques continúan aumentando tanto en número como en sofisticación. Así, los ciberdelincuentes están empleando tácticas cada vez más avanzadas para atacar a empresas de todos los tamaños y sectores.

Ataques de ransomware en empresas

Un ataque ransomware es un tipo de ciberataque en el que los ciberdelincuentes cifran los archivos o sistemas de una víctima y luego exigen un rescate (ransom) para restaurar el acceso. El ransomware se ha convertido en una de las amenazas más lucrativas y extendidas en el mundo de la ciberseguridad.

Descarga la guía de ransomware

Ataques de malware en empresas

Los ataques de malware implican el uso de software malicioso (malware) para infectar sistemas informáticos y dispositivos con el objetivo de causar daño, robar información o realizar actividades no autorizadas. 

Algunos de los tipos más comunes de malware incluyen los virus, gusanos (worms), troyanos o los spyware, entre otros.

Ataques de ingeniería social

La ingeniería social cada vez está más presente y se basa en el engaño a los usuarios o la manipulación, generalmente para conseguir información, accesos o dinero.

Por lo tanto, estos ataques se dirigen al propio usuario utilizando el factor humano, en lugar de los propios sistemas. Además, las tácticas con las que los ciberdelincuentes se acercan son cada vez más sofisticadas dificultando su identificación. Los principales tipos que encontramos son: el phishing, smishing, vishing, fake news y las estafas por redes sociales.

Este punto es muy importante ya que cada vez más los delincuentes utilizan esta vía de entrada para llegar a las empresas. 

Tratamiento de datos

En los últimos años han surgido una serie de regulaciones cada vez más estrictas sobre la privacidad y la seguridad de los datos que las empresas deben cumplir. En el caso europeo, destaca el Reglamento General de Protección de Datos (RGPD). No cumplir con estas normativas puede resultar en sanciones financieras y en daños muy importantes a la reputación de la empresa.

Y todo ello es solo un ejemplo de problemas muy comunes, pero nos enfrentamos a un creciente número de amenazas de todo tipo ante los que empresas y organizaciones deben protegerse. Y no solo amenazas, también nos encontramos con numerosa normativa que no deja de actualizarse para  mejorar el estado de la ciberseguridad global. Por esto, las empresas deben estar al día para garantizar el cumplimiento y ofrecer la máxima garantía a sus grupos de interés. 

Ventajas de la ciberseguridad en las empresas

Protección a la integridad de los datos

La ciberseguridad eficiente garantiza que los datos confidenciales y críticos de la empresa, así como los activos digitales, estén protegidos contra robos, pérdidas o daños.

Esto aplica también a información valiosa en áreas de propiedad intelectual, secretos comerciales y estrategias comerciales confidenciales. 

Cumplimiento normativo

Para responder a los avances tecnológicos y a las diversas amenazas que surgen en consecuencia, organismos internacionales y nacionales han desarrollado una serie de normativas y certificaciones.

Dependiendo de las características de las organizaciones o de su ámbito de actividad, entre otros parámetros, se debe atender a distintas normativas. Además, algunas de ellas pueden ser de obligado cumplimiento y otra un garante de estándares recomendados.

 Por ejemplo, a nivel global, la Norma ISO 27001 establece los criterios y procesos para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI).

Por su parte, las empresas radicadas en España deben cumplir con el Reglamento General Europeo de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales. Asimismo, aquellas que sean proveedoras del Estado y sus dependencias, deben adecuarse al Esquema Nacional de Seguridad.

Las compañías que se categorizan bajo la denominación de “operadores críticos” suelen afrontar requerimientos adicionales, como los que se detallan en la Ley de Infraestructuras Críticas.  

Y estos son sólo algunos ejemplos. La gran cantidad de legislación en la materia y los diferentes esquemas de ciberseguridad a cumplir requieren establecer los mecanismos adecuados para garantizar su aplicación. El incumplimiento de marcos reglamentarios no sólo representa un gran peligro para la organización, sus clientes y proveedores. También implica sanciones económicas y la imposibilidad de ofrecer sus productos o servicios. 

Continuidad operativa

Una empresa cibersegura minimiza la posibilidad de interrupciones importantes causadas por ciberataques. Esto implica detectar a tiempo las amenazas, contar con un plan de respuesta y asegurar la continuidad operativa. 

Reducción de costos

Un ataque cibernético puede representar importantes pérdidas para una empresa: desde el coste deuna posible interrupción de las operaciones hasta los gastos de recuperación de sistemas y equipos, sin contar con el precio asociado a la pérdida de reputación. Invertir en ciberseguridad puede ahorrar dinero al prevenir estos incidentes.

Protección a la reputación de la empresa y la confianza de los clientes

La seguridad cibernética es una preocupación importante tanto para clientes como para socios comerciales. Al adoptar políticas eficaces de ciberseguridad para empresas, una organización puede ganar su confianza.

A su vez, un ataque cibernético puede dañar seriamente la reputación de una empresa, de modo que la ciberseguridad es parte clave de la imagen de una organización.

Soluciones para mejorar la ciberseguridad en la empresa

Auditoría de ciberseguridad

Una auditoría de ciberseguridad es un proceso de evaluación y análisis exhaustivo que trata de determinar cómo de vulnerable es una organización o sistema. 

Como ejemplo, en el caso de las auditorías de seguridad en S2 Grupo, aplicamos una serie de tests que simulan un ciberataque real para determinar el grado de riesgo real que hay detrás de cada vulnerabilidad y hasta dónde pueden llegar los daños. 

Instalación de un SOC

Un SOC (Centro de Operaciones de Seguridad, por sus siglas en inglés) es un equipo o un conjunto de funciones y procesos que se encargan de monitorear y responder a incidentes de seguridad en una organización. 

Compuesto de un equipo humano y de plataformas tecnológicas, se convierten en un núcleo de defensa integral dedicado a la ciberseguridad para empresas.

centro de operaciones de ciberseguridad, oficina con ordenadores y pantallas

Implementación de herramientas

Existe toda una serie de herramientas de ciberseguridad diseñadas para detectar, prevenir y responder a amenazas cibernéticas. Las tres áreas más importantes de defensa incluyen las siguientes:

1. GLORIA: Gestión de Incidentes y Amenazas

GLORIA aplica inteligencia avanzada para detectar amenazas de seguridad y gestionarlas de forma eficaz. Aplicable a entornos IT y OT, se basa en sistemas SIEM y técnicas complejas de correlación y análisis de patrones para encontrar peligros de forma rápida y fiable.

2. CARMEN: Protección Avanzada antes Amenazas Informáticas

La plataforma CARMEN es la herramienta de detección de compromisos por APT de S2 Grupo, capaz de detectar ciberataques avanzados y facilitar el proceso de Threat Hunting.

3. CLAUDIA: Solución Endpoint para Análisis de Red

CLAUDIA permite la detección de anomalías y usos indebidos potencialmente vinculados a malwares complejos y movimientos laterales relacionados con amenazas avanzadas persistentes (APT). 

Formación en ciberseguridad

Teniendo en cuenta que el 95% de los ciberataques tienen como vector de entrada el factor humano, según publica el INCIBE, la formación de empleados en ciberseguridad es de vital importancia. 

La formación aplicada a las características y nivel de madurez de la empresa en cuestión ayudan a crear una cultura de ciberseguridad en las organizaciones a través de planes que se ajustan a sus necesidades  y acciones aplicables a corto, medio y largo plazo.

empleado explica a otro nociones de ciberseguridad en una pizarra

Aspectos clave a considerar al elegir una empresa de ciberseguridad

Elegir una empresa de ciberseguridad es una decisión crucial: se trata de depositar la confianza en ellos para proteger los activos digitales y datos confidenciales de una organización. 

Existen una serie de pautas que pueden ayudarte a seleccionar una empresa de ciberseguridad de confianza:

  • Investiga la experiencia y la trayectoria de la empresa en el campo de la ciberseguridad. 
  • Verifica que la empresa cuente con certificaciones relevantes en ciberseguridad, garantizando que aplican las mejores prácticas de seguridad.
  • Asegúrate de que la empresa cuente con un equipo de profesionales altamente capacitados y especializados en ciberseguridad.
  • Comprueba que las soluciones y servicios de ciberseguridad que ofrecen se adapten a tus necesidades específicas

Así, será especialmente valiosa una empresa que ofrezca soluciones personalizadas para satisfacer las necesidades específicas de tu organización. 

  • Finalmente, busca una empresa transparente en su capacidad para mitigar riesgos y cubrir todos los aspectos relacionados con la ciberseguridad para empresas.

En S2 Grupo tenemos un compromiso con la ciberseguridad para empresas. Nuestras soluciones nos sitúan como compañía de referencia en ciberseguridad capaces de acompañar a las organizaciones en su camino hacia la seguridad y ciberresiliencia. Ponte en contacto con nosotros y descubre cómo podemos ayudarte.

¿Qué es la ciberresiliencia y por qué es importante para las empresas?

La ciberresiliencia está despuntando como concepto en un momento en que se ha demostrado que las medidas de ciberseguridad tradicionales ya no son suficientes.

Ante un aumento en el número de ataques maliciosos y el incremento del peso de los procesos digitales en todas las organizaciones, la exposición y riesgos respecto a los ciberataques son cada vez mayores. Para contrarrestarlo, están apareciendo esfuerzos como la ley de ciberresiliencia. 

Es más, gracias a movimientos encaminados hacia la ciberresiliencia se están logrando importantes avances en seguridad. Así lo demuestra el informe sobre ciberresiliencia del BCI en 2023: mientras que el 74% de los encuestados aseguraron haber detectado un aumento en el número de ciberataques en el último año, la mayoría de organizaciones aseguró que su impacto fue entre pequeño y medio.

Te contamos todo lo que necesitas saber sobre qué es ciberresiliencia efectiva y cómo ponerla en marcha.

Qué es la ciberresiliencia

La ciberresiliencia (a veces denominada  ciber resiliencia o resiliencia cibernética) describe la capacidad de un sistema u organización para resistir y/o recuperarse ante ataques o incidentes cibernéticos. 

De este modo, una organización ciberresiliente trabaja en pos de proteger sus activos digitales y la continuidad de sus sistemas frente a ciberataques o desastres tecnológicos. 

Para ello, pone en marcha una serie de estrategias y tecnologías que le permiten anticiparse a posibles ataques, detectarlos de forma temprana (en caso de que ocurran) y proporcionar una respuesta rápida que permita recuperarse y continuar su actividad.

Diferencias entre ciberseguridad y ciberresiliencia

Ciberseguridad y ciberresiliencia se refieren a dos marcos de acción diferentes: mientras que el primer concepto habla de la capacidad de prevenir y evitar ciberataques, el segundo describe la capacidad de recuperarse en caso de que se produzcan. 

En este sentido, ambos conceptos no son sinónimos, pero sí funcionan de forma complementaria para garantizar la protección de los sistemas de una empresa.

Beneficios de la ciberresiliencia efectiva

Se habla de ciberresiliencia efectiva como aquella que es proactiva y está estructurada en base a una estrategia realista y que integra a la organización por completo, incluyendo su cadena de suministro y clientes. 

Lograr la ciberresiliencia implica, en este sentido, acceder a una serie de ventajas:

  • Disminuye la posibilidad de sufrir ataques cibernéticos y minimiza su impacto
  • Accede a la ventaja competitiva de la recuperación rápida frente a un ataque
  • Se blinda frente a las pérdidas financieras que siguen a los ciberataques
  • Cumplimiento de la ley, incluyendo el Reglamento General de Protección de Datos (RGPD) y las multas de reguladores
  • Protección de la reputación de la empresa y la pérdida de negocio o caída en ventas que pueden seguir a un ciberataque
  • Formación de un equipo de TI preparado para las amenazas actuales

Amenazas y retos de la ciberresiliencia

Desarrollar la ciberresiliencia supone un proceso complejo en el que actúa una multitud de variables y necesidades. 

En este sentido, la mayoría de organizaciones se enfrentan a la escasez de habilidades o de formación al respecto y el desafío de conocer en profundidad sus propios sistemas, que además se encuentran en constante avance.

Así, es vital dejarse acompañar en el proceso de poner en marcha la ciberresiliencia por expertos y profesionales en ciberseguridad, evitando así caer en ciberataques o el ciberespionaje, y siendo capaces de adaptarse eficazmente a la situación de riesgo que pudiera surgir. 

Importancia de la ley de ciberresiliencia europea

Ley de ciberresiliencia de la Unión Europea

La Ley de ciberresiliencia  (Cyber Resilience Act o CRA, por sus siglas en inglés) es un esfuerzo de la Unión Europea en torno a este concepto. Así, esta propuesta de reglamento establece los requisitos de ciberseguridad que deben cumplir los productos con elementos digitales de hardware y software para blindar su seguridad. 

La ley se refiere a los proveedores de servicios de y en Internet, pero se centra principalmente en las nuevas tecnologías IoT como puerta de entrada a las vulnerabilidades. Técnicamente, se aplica a “productos con elementos digitales”, una definición amplia que abarca cualquier producto de software o hardware, además del software o hardware no incorporado al producto, pero introducido en el mercado por separado.

En cuanto a las medidas propuestas, según recoge el INCIBE, se encuentran las siguientes:

  • Creación de normas para la ciberseguridad en la comercialización de productos que contengan elementos digitales
  • Establecimiento de los requisitos para el diseño, desarrollo y producción de productos que contengan elementos digitales, así como las obligaciones de los empresarios relacionadas con estos productos; 
  • Creación de los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos que contengan elementos digitales durante su ciclo de vida, así como las obligaciones de las empresas relacionadas con estos procesos. Los fabricantes también deben informar de las vulnerabilidades e incidentes explotados activamente; 
  • Garantía de mejoren la seguridad del producto con elementos digitales desde la etapa de diseño y desarrollo y durante todo el ciclo de vida; 
  • Creación de un marco de ciberseguridad que facilite el cumplimiento por parte de los fabricantes de hardware y software; 
  • Mejora de la transparencia de las características de seguridad del producto con elementos digitales; 
  • Facilitar a empresas y consumidores utilizar de forma segura productos que contienen elementos digitales;
  • Establecimiento de un reglamento de vigilancia y fiscalización del mercado.

La Unión Europea tomaba así cartas en el asunto de la ciberseguridad, cifrando el coste anual mundial de la ciberdelincuencia en 5.5 billones EUR y queriendo atajar una serie de problemas:

  • Los déficits en ciberseguridad y vulnerabilidades detectadas en multitud de equipos. Califica de insuficientes las actualizaciones de seguridad y determina la necesidad de implementar mejoras
  • La falta de conocimientos y acceso a información por parte de los usuarios en lo que respecta a la ciberseguridad, lo cual multiplica el problema

Conscientes de la importancia de este tema a nivel económico y social, la UE incorpora como iniciativa la ley de ciberresiliencia en vistas a abordar la seguridad en todos los productos con elementos digitales.

Objetivos de la ley de ciberresiliencia

En el texto proporcionado por la UE, se recogen los siguientes 4 objetivos de la ley de ciberresiliencia:

  1. Garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida;
  2. Garantizar un marco coherente de ciberseguridad, facilitando el cumplimiento por parte de los productores de hardware y software;
  3. Aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
  4. Permitir a las empresas y a los consumidores utilizar productos con elementos digitales de forma segura.

Cómo poner en marcha la ciberresiliencia

Una empresa ciberresiliente supone , en definitiva, una organización que ha preparado sus sistemas y sus políticas de actuación frente a las ciberamenazas actuales. 

Para ello, prevé los posibles escenarios en que sus sistemas pueden verse comprometidos; evalúa la probabilidad de los compromisos; la posible ruta de propagación y la respuesta que será capaz de dar, siempre teniendo en cuenta el impacto final tanto en la organización como los usuarios. 

La ciberresiliencia es, por tanto, una forma de englobar muchos de los pasos más importantes que las empresas pueden dar para protegerse de las graves amenazas que el mundo digital puede suponer. 

Características de una empresa ciberresiliente

  • Cuenta con prácticas y políticas de ciberseguridad fortalecidas y una cultura organizacional que promueve la seguridad
  • Presenta un plan de acción ante situaciones de riesgo y amenazas como el ransomware
  • Posee equipos humanos capacitados y comprometidos con la ciberseguridad
  • Realiza monitoreos continuos para identificar potenciales riesgos
  • Es consciente de las amenazas específicas que pueden afectar a su seguridad
  • Ha puesto en marcha una combinación de medidas de protección integral, como cortafuegos, antivirus, soluciones de detección de intrusiones, sistemas de autenticación sólidos, protección de accesos remotos, o encriptación de datos, entre otros
  • Es flexible y capaz de actualizar sus políticas de seguridad en función de las últimas tendencias y evoluciones en ciberseguridad
Características de una empresa ciberresiliente

Ahora bien, ¿Cómo dar el primer paso hacia la ciberresiliencia? Desde S2 Grupo, ofrecemos soluciones específicas para acompañar a las empresas en la implementación de procesos de este tipo.

  • Auditorías de seguridad: con el objetivo de detectar vulnerabilidades y posibles deficiencias, las auditorías ponen en evidencia las carencias en ciberseguridad. Esta información permite después corregir protocolos, enmendar errores y reforzar el ecosistema de protección de cualquier organización con un plan de acción robusto.
  • Servicio de consultoría: en vistas a asegurar el cumplimiento con la normativa vigente en ciberseguridad, proponemos la aplicación de las Buenas Prácticas de GRC así como los estándares adecuados en función de las características de la organización. 
  • Seguridad de software: ponemos en marcha las bases para la protección integral y al máximo nivel en el desarrollo de software, lo cual va en línea con la iniciativa europea CRA, poniendo énfasis en el security by design. 

Además, apostamos por el desarrollo de una cultura de ciberseguridad, un enfoque transversal que promovemos desde S2 Grupo como respuesta y metodología. Tenemos la convicción de que la ciberresiliencia supone acercar la ciberseguridad al día a día de las organizaciones incorporándola a los hábitos intrínsecos de todas las personas que conforman el equipo 

El equipo especializado de S2 Grupo analiza el nivel de cultura de seguridad de la organización, mide los resultados e identifica los comportamientos a mejorar. Además, nuestras formaciones en torno a la concienciación y formación en ciberseguridad suponen una herramienta efectiva para orientar a los equipos humanos hacia una cultura de la ciberseguridad efectiva.

Más de 10 años de experiencia desplegando esta estrategia con éxito demostrado nos avalan. 

Si quieres avanzar hacia la ciberresiliencia, cuenta con nosotros. Ponte en contacto y hablemos sobre cómo podemos ayudarte.

Panorama del Ransomware 2023

Actualmente, el ransomware es una de las amenazas que más preocupa a las empresas. Los ataques de este tipo son cada vez más sofisticados, están creciendo en volumen y poniendo en riesgo un activo fundamental: los datos. 

En el documento, compartimos las tendencias que observamos más recientemente: el modelo de negocios detrás de este malware, los principales grupos y los incidentes destacados por industria. Además, nuestros expertos comparten los últimos avances en prevención, detección y resolución de incidencias. 

Accede aquí.

Vulnerabilidades en Samba 2022

En 2022 Samba lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en Samba durante el 2022. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad por lo que es vital que todos los usuarios de Samba actualicen sus dispositivos garantizar la total protección de sus redes.

Tabla de contenidos

Vulnerabilidades en Samba Febrero 2022

ANÁLISIS

CVE-2022-0336 [2]:

El Controlador de Dominio de Directorio Activo (AD DC) de Samba incluye comprobaciones cuando se añaden nombres de directores de servicio (SPN) a una cuenta para asegurar que los SPN no tienen alias con los que ya están en la base de datos. Algunas de estas comprobaciones pueden obviarse si una modificación de la cuenta vuelve a añadir un SPN que ya estaba presente en esa cuenta, como uno añadido cuando un ordenador se une a un dominio.

Un atacante que tenga la capacidad de escribir en una cuenta puede aprovechar esto para realizar un ataque de denegación de servicio añadiendo un SPN que coincida con un servicio existente. Además, un atacante que pueda interceptar el tráfico puede hacerse pasar por los servicios existentes, lo que provocaría una pérdida de confidencialidad e integridad.

CVE-2021-44142 [3]:

El fallo específico existe en el análisis de los metadatos de EA al abrir archivos en smbd. Para explotar esta vulnerabilidad es necesario acceder como un usuario que tenga acceso de escritura a los atributos extendidos de un archivo. Tenga en cuenta que podría tratarse de un invitado o de un usuario no autenticado si se permite a dichos usuarios el acceso de escritura a los atributos extendidos de los archivos.

El problema en vfs_fruit existe en la configuración por defecto del módulo VFS de fruit usando fruit_metadata=netatalk o fruit_resource=file. Si ambas opciones se configuran con valores diferentes a los predeterminados, el sistema no se ve afectado por el problema de seguridad.

RECOMENDACIONES

Se han publicado parches que solucionan estos dos problemas [4].

Además, Samba 4.13.17, 4.14.12 y 4.15.4 se han publicado como versiones de seguridad para corregir el defecto. Se aconseja a los usuarios que actualicen a estas versiones o apliquen el parche lo antes posible.

REFERENCIAS
[1] Múltiples vulnerabilidades en Samba | INCIBE-CERT 
[2] Samba – Security Announcement Archive 
[3] Samba fixed CVE-2021-44142 remote code execution flawSecurity Affairs 
[4] Samba – Security Updates and Information 

Vulnerabilidades en Samba Julio 2022

Samba ha publicado un aviso de seguridad en el que informa de 5 nuevas vulnerabilidades. Aunque la mayoría de ellas tienen una puntuación CVSS baja, una de ellas tiene una puntuación de 8,8 (CVE-2022-32744) que permitiría a los usuarios de Samba AD falsificar las solicitudes de cambio de contraseña de cualquier usuario.

ANÁLISIS

Los tickets recibidos por el servicio kpasswd son descifrados sin especificar que sólo se deben probar las claves propias de ese servicio. Estableciendo el nombre del servidor del ticket a una clave asociada a su propia cuenta, o explotando un fallback en el que se prueban claves conocidas hasta encontrar una adecuada, un atacante podría hacer que el servidor aceptara tickets cifrados con cualquier clave, incluida la suya.

Un usuario podría así cambiar la contraseña de la cuenta de administrador y obtener el control total del dominio. Sería posible la pérdida total de la confidencialidad e integridad, así como de la disponibilidad al negar a los usuarios el acceso a sus cuentas.

Además, el servicio kpasswd acepta tickets cifrados por la clave krbtgt de un RODC, a pesar de que los RODCs no deberían poder autorizar cambios de contraseña.

Versiones afectadas:

  • Samba 4.3 y posteriores

RECOMENDACIONES

Se han publicado parches que solucionan este problema en https://www.samba.org/samba/security/

Además, kpasswd no es un protocolo crítico para el DC de AD en la mayoría de las instalaciones, por lo que puede deshabilitarse estableciendo «kpasswd port = 0» en el smb.conf.

REFERENCIAS

https://www.samba.org/samba/security/CVE-2022-32744.html

Vulnerabilidad de inyección de comandos en productos Cisco 2022

En 2022 Cisco lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas durante inyección de comandos en sus productos. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades de inyección de comandos descubiertas en Cisco durante el 2022. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad por lo que es vital que todos los usuarios de Cisco actualicen sus dispositivos garantizar la total protección de sus redes.

Tabla de contenidos

Vulnerabilidades de Inyección de comandos en productos Cisco Marzo 2022

ANÁLISIS

La vulnerabilidad se debe a la insuficiente validación de entrada de los datos suministrados por el usuario que se envían a la NX-API. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP POST manipulada a la NX-API de un dispositivo afectado. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente. Tenga en cuenta que la función NX-API está desactivada por defecto [2].

RECOMENDACIONES

Cisco ha publicado actualizaciones de software que abordan esta vulnerabilidad. La actualización de software es la única solución para corregir la vulnerabilidad.

REFERENCIAS

[1] Cisco NX-OS Software NX-API Command Injection Vulnerability 
[2] Múltiples vulnerabilidades en dispositivos de Cisco | INCIBE  

Vulnerabilidades en Google Chrome 2023

En 2023 Google Chrome lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en Google Chrome durante el 2023. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad por lo que es vital que todos los usuarios de Google Chrome actualicen su navegador para garantizar la total protección durante su uso.

Tabla de contenidos

Vulnerabilidades en Google Chrome Junio 2023

Google ha lanzado una nueva actualización de Chrome con nuevos parches de seguridad. Contiene 16 correcciones de seguridad. Entre ellas, 8 correcciones de seguridad de alta prioridad, que son en las que se centrará esta nota.

ANÁLISIS

CVE-2023-3214 Gravedad de seguridad de Chromium – Crítica:

Uso después de libre en pagos Autofill.

CVE-2023-3215 Gravedad de seguridad de Chromium – Alta:

Uso después de libre en WebRTC.

CVE-2023-3216 Gravedad de seguridad de Chromium – Alta:

Confusión tipográfica en V8.

CVE-2023-3217 Gravedad de seguridad de Chromium – Alta:

Uso después de free en WebXR.

CVE-2023-2929 Gravedad de seguridad de Chromium – Alta:

  • Escritura fuera de límites en Swiftshader.

CVE-2023-2930 Gravedad de seguridad de Chromium – Alta:

  • Uso después de free en Extensions.

CVE-2023-2931 Gravedad de seguridad de Chromium – Alta:

  • Uso después de free en PDF

CVE-2023-2932 Gravedad de seguridad de Chromium – Alta:

  • Uso después de free en PDF.

CVE-2023-2933 Gravedad de seguridad de Chromium – Alta:

  • Uso después de free en PDF.

CVE-2023-2934 Gravedad de seguridad de Chromium – Alta:

  • Acceso a memoria fuera de los límites en Mojo.

CVE-2023-2935 Gravedad de seguridad de Chromium – Alta:

  • Confusión de tipo en V8.

CVE-2023-2936 Gravedad de seguridad de Chromium – Alta:

  • Confusión de tipo en V8.

VERSIONES AFECTADAS

Versiones de Google Chrome anteriores a 114.0.5735.133 para Mac y Linux y 114.0.5735.133/134 para Windows.

Versiones de Google Chrome anteriores a 114.0.5735.90 (Linux y Mac) y 114.0.5735.90/91 (Windows)
Versiones de Google Chrome Extended Stable anteriores a 114.0.5735.90 (Mac) y 114.0.5735.91 (Windows)

RECOMENDACIONES

  • Actualice a la versión 114.0.5735.133 de Chrome para Mac y Linux
  • Actualice a la versión 114.0.5735.133/134 de Chrome para Windows
  • Actualice a las versiones 114.0.5735.90 (Linux y Mac) y 114.0.5735.90/91 (Windows) de Google Chrome.
  • Actualice a las versiones 114.0.5735.90 (Mac) y 114.0.5735.91 (Windows) de Google Chrome Extended Stable.

REFERENCIAS

https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop_13.html
https://nvd.nist.gov/vuln/detail/CVE-2023-3214
https://nvd.nist.gov/vuln/detail/CVE-2023-3215
https://nvd.nist.gov/vuln/detail/CVE-2023-3216
https://nvd.nist.gov/vuln/detail/CVE-2023-3217

https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_30.html
https://www.cve.org/CVERecord?id=CVE-2023-2929
https://www.cve.org/CVERecord?id=CVE-2023-2930
https://www.cve.org/CVERecord?id=CVE-2023-2931
https://www.cve.org/CVERecord?id=CVE-2023-2932
https://www.cve.org/CVERecord?id=CVE-2023-2933
https://www.cve.org/CVERecord?id=CVE-2023-2934
https://www.cve.org/CVERecord?id=CVE-2023-2935
https://www.cve.org/CVERecord?id=CVE-2023-2936
https://www.cve.org/CVERecord?id=CVE-2023-2937
https://www.cve.org/CVERecord?id=CVE-2023-2938
https://www.cve.org/CVERecord?id=CVE-2023-2939
https://www.cve.org/CVERecord?id=CVE-2023-2940
https://www.cve.org/CVERecord?id=CVE-2023-2941

Vulnerabilidades en Google Chrome Mayo 2023

El canal estable de Google Chrome ha sido actualizado incluyendo 12 correcciones de seguridad. Entre ellas, se encuentran 1 problema crítico, 4 de gravedad alta y 1 de gravedad media. Esta nota se centrará en los de gravedad superior a alta.

ANÁLISIS

CVE-2023-2721 Gravedad de seguridad de Chromium – Crítica:

El uso después de free en Navigation en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2722 Gravedad de seguridad de Chromium – Alta:

El uso después de free en Autofill UI en Google Chrome en Android permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2723 Gravedad de seguridad de Chromium – Alta:

El uso después de la liberación en DevTools en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderizado explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2724 Gravedad de seguridad de Chromium – Alta:

La confusión tipográfica en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2725 Gravedad de seguridad de Chromium – Alta:

El uso después de free en Guest View en Google Chrome permitía a un atacante que convencía a un usuario para instalar una extensión maliciosa explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

VERSIONES AFECTADAS

Versiones de Google Chrome anteriores a 113.0.5672.126 para Mac y Linux

Versiones de Google Chrome anteriores a 113.0.5672.126/.127 para Windows

RECOMENDACIONES

Actualice a la versión 113.0.5672.126 de Google Chrome para Mac y Linux

Actualice a la versión 113.0.5672.126/.127 de Google Chrome para Windows

REFERENCIAS

https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html
https://www.cve.org/CVERecord?id=CVE-2023-2721
https://www.cve.org/CVERecord?id=CVE-2023-2722
https://www.cve.org/CVERecord?id=CVE-2023-2723
https://www.cve.org/CVERecord?id=CVE-2023-2724
https://www.cve.org/CVERecord?id=CVE-2023-2725
https://www.cve.org/CVERecord?id=CVE-2023-2726

Vulnerabilidades en Google Chrome Abril 2023

Se han encontrado diversas vulnerabilidades en diferentes versiones de Google Chrome. Se cubrirán los siguientes CVE: CVE-2023-2033 y CVE-2023-2133 — CVE-2023-2136 que no tienen CVSS todavía pero Google las ha clasificado con criticidad alta.

ANÁLISIS

CVE-2023-2033 CVSS 8.8:

La confusión de tipos en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2133 CVSS -:

El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2134 CVSS -:

El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2135 CVSS -:

El uso después de free en DevTools permitía a un atacante remoto que convencía a un usuario de habilitar condiciones previas específicas explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2136 CVSS -:

El desbordamiento de enteros en Skia en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderizado realizar potencialmente un escape de sandbox a través de una página HTML manipulada.

VERSIONES AFECTADAS

CVE-2023-2033:

Google Chrome anterior a 112.0.5615.121

CVE-2023-2133–CVE-2023-2136:

Google Chrome anterior a 112.0.5615.137

RECOMENDACIONES

Actualice a la siguiente versión en función del dispositivo:

  • 112.0.5615.137/138 para Windows
  • 112.0.5615.137 para Mac
  • 112.0.5615.165 para Linux
  • 112.0.5615.135/.136 para Android
  • 112.0.5615.70 para iOS

REFERENCIAS

https://chromereleases.googleblog.com/search/label/Stable%20updates
https://nvd.nist.gov/vuln/detail/CVE-2023-2033
https://nvd.nist.gov/vuln/detail/CVE-2023-2133
https://nvd.nist.gov/vuln/detail/CVE-2023-2134
https://nvd.nist.gov/vuln/detail/CVE-2023-2135
https://nvd.nist.gov/vuln/detail/CVE-2023-2136

Vulnerabilidades en Google Chrome Marzo 2023

Chrome 111.0.5563.64 (Linux y Mac), 111.0.5563.64/.65( Windows) contiene una serie de correcciones y mejoras entre las cuales se encuentran los parches de seguridad que indicaremos a continuación.
(CVE-2023-1213,CVE-2023-1214, CVE-2023-1215, CVE-2023-1216, CVE-2023-1218, CVE-2023-1219, CVE-2023-1220, CVE-2023-1222, CVE-2023-1227)

ANÁLISIS

CVE-2023-1213 CVSS 8.8:

El uso después de free en Swiftshader en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1214 CVSS 8.8:

La confusión de tipos en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1215 CVSS 8.8:

Una confusión tipográfica en CSS en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1216 CVSS 8.8:

El uso después de la liberación en DevTools en Google Chrome permitía a un atacante remoto que había convencido al usuario para participar en la interacción directa de la interfaz de usuario explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1218 CVSS 8.8:

El uso después de la liberación en WebRTC en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1219 CVSS 8.8:

El desbordamiento del búfer de la pila en Metrics en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso del renderizador explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1220 CVSS 8.8:

El desbordamiento del búfer de la pila en UMA en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderización explotar potencialmente la corrupción de la pila mediante una página HTML manipulada.

CVE-2023-1222 CVSS 8.8:

El desbordamiento del búfer de heap en Web Audio API de Google permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

CVE-2023-1227 CVSS 8.8:

El uso después de free en Core en Google Chrome en Lacros permitía a un atacante remoto que convencía a un usuario de realizar una interacción de interfaz de usuario específica explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

VERSIONES AFECTADAS

Google Chrome anterior a 111.0.5563.64

RECOMENDACIONES

Actualice a la versión 111.0.5563.64 de Google Chrome (Linux y Mac).
Actualice a la versión 111.0.5563.64/.65 de Google Chrome (Windows).

Vulnerabilidades en ArubaOs 2023

En 2023 ArubaOs lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas y redes afectadas.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en ArubaOs durante el 2023 y recopilaremos algunas del último periodo del 2022. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad.

Tabla de contenidos

Vulnerabilidades en ArubaOs Mayo 2023

Se han publicado nuevas vulnerabilidades del ArubaOS. La mayoría de ellas tienen una puntuación CVSS de 9,8 y nos centraremos en ellas.

Los CVE son: CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785, CVE-2023-22786.

ANÁLISIS:

CVE-2023-22779 – CVE-2023-22786 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:

Las vulnerabilidades entre CVE-2023-22779 y CVE-2023-22786 comparten CVSS y descripción. Existen vulnerabilidades de desbordamiento de búfer en múltiples servicios subyacentes que podrían conducir a la ejecución remota de código no autenticado mediante el envío de paquetes especialmente diseñados destinados al puerto UDP (8211) de PAPI (protocolo de gestión de puntos de acceso de Aruba). La explotación exitosa de estas vulnerabilidades resulta en la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente.

VERSIONES AFECTADAS:

Puntos de acceso Aruba que ejecutan InstantOS y ArubaOS 10

  • ArubaOS 10.3.x: 10.3.1.0 e inferiores
  • Aruba InstantOS 8.10.x: 8.10.0.4 e inferior
  • Aruba InstantOS 8.6.x: 8.6.0.19 e inferior
  • Aruba InstantOS 6.5.x: 6.5.4.23 e inferior
  • Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 e inferiores

Las siguientes versiones de software InstantOS que han llegado al final de su ciclo de vida
están afectadas por estas vulnerabilidades y no están parcheadas por este
aviso:

  • InstantOS 8.9.x: todas
  • InstantOS 8.8.x: todas
  • InstantOS 8.7.x: todas
  • InstantOS 8.5.x: todas
  • InstantOS 8.4.x: todas

RECOMENDACIONES:

Tenga en cuenta que, debido a la estructura de estas vulnerabilidades específicas, Aruba sólo ha podido parchearlas en las siguientes ramas:

  • ArubaOS 10.4.x: 10.4.0.0 y superior
  • Aruba InstantOS 8.11.x: 8.11.0.0 y superior
  • Aruba InstantOS 8.10.x: 8.10.0.3 y superior

Las ramas más antiguas y las ramas no nombradas específicamente no están parcheadas. Los clientes que no puedan actualizar deberán consultar la sección de soluciones alternativas

Solución temporal:

Habilitar cluster-security mediante el comando cluster-security evitará que las vulnerabilidades sean explotadas en dispositivos Aruba InstantOS que ejecuten código 8.x o 6.x. Para dispositivos ArubaOS 10 esto no es una opción y en su lugar el acceso al puerto UDP/8211 debe ser bloqueado desde todas las redes no confiables. Por favor contacte con el Soporte de Aruba para asistencia en la configuración.

REFERENCIAS:

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt

Vulnerabilidades en ArubaOs Octubre 2022

Aruba ha publicado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad. Una de ellas es crítica, esta vulnerabilidad fue descubierta y reportada por Erik de Jong (bugcrowd.com/erikdejong) a través del programa Bug Bounty de Aruba.

ANÁLISIS

Hay 16 vulnerabilidades confirmadas, sólo una de ellas tiene un impacto crítico.

Existe una vulnerabilidad de inyección de comandos (CVE-2022-37897) que podría conducir a la ejecución remota de código sin autenticación mediante el envío de paquetes especialmente diseñados destinados al puerto UDP de PAPI (protocolo de gestión de AP de Aruba Networks) (8211). La explotación exitosa de esta vulnerabilidad resulta en la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente. Puntuación general de CVSSv3: 9,8

Versiones afectadas:

  • ArubaOS 6.5.4.22 y anteriores
  • ArubaOS 8.6.0.17 y anteriores
  • ArubaOS 8.7.1.9 y anteriores
  • ArubaOS 10.3.0.0
  • SD-WAN 8.7.0.0-2.3.0.6 y anteriores

RECOMENDACIONES

Para minimizar la probabilidad de que un atacante explote estas vulnerabilidades, Aruba recomienda que la comunicación entre el Controlador/Gateways y los Access-Points se restrinja teniendo un segmento/VLAN de capa 2 dedicado o, si el Controlador/Gateways y los Access-Points cruzan los límites de la capa 3, tener políticas de firewall que restrinjan la comunicación de estos dispositivos autorizados.

Además, la activación de la función de seguridad mejorada de PAPI evitará que se exploten las vulnerabilidades específicas de PAPI mencionadas anteriormente. Contacte con el Soporte de Aruba para obtener asistencia en la configuración.

Además, actualice Mobility Controllers y Gateways a una de las siguientes versiones de ArubaOS:

  • ArubaOS 6.5.4.23 y superiores
  • ArubaOS 8.6.0.18 y superiores
  • ArubaOS 8.7.1.10 y superiores
  • ArubaOS 8.10.0.0 y superiores
  • ArubaOS 10.3.0.1 y superiores
  • SD-WAN 8.7.0.0-2.3.0.7 y superiores

REFERENCIAS

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-016.txt

Vulnerabilidades en Android 2023

En 2023 Android lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en Android durante el 2023. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos móviles por lo que es vital que todos los usuarios de Android actualicen sus dispositivos para garantizar la total protección.

Tabla de contenidos

Vulnerabilidades en Android Abril 2023

Se ha publicado una vulnerabilidad crítica para sistemas Android.

ANÁLISIS

CVE-2023-21096 CVSS 9.8:

En OnWakelockReleased de attribution_processor.cc, hay un uso después de free que podría llevar a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.

VERSIONES AFECTADAS

  • Android 12
  • Android 12.1
  • Android 13

RECOMENDACIONES

Aplique los últimos parches de seguridad en las versiones afectadas.

REFERENCIAS

https://source.android.com/security/bulletin/2023-04-01
https://nvd.nist.gov/vuln/detail/CVE-2023-21096

Vulnerabilidades de Android Marzo 2023

Se han encontrado múltiples vulnerabilidades en Android que permiten la escalada de privilegios y la filtración de información. La primera afecta a todos los móviles Android (CVE-2023-20960) y el resto afectan a Android en teléfonos Pixel.

(CVE-2023-20960, CVE-2022-42499, CVE-2022-42498, CVE-2022-20532, CVE-2023-20946, CVE-2023-20948)

ANÁLISIS

CVE-2023-20960 CVSS 8.8:

En launchDeepLinkIntentToRight de SettingsHomepageActivity.java, existe una posible forma de lanzar actividades arbitrarias debido a una validación de entrada incorrecta. Esto podría llevar a una escalada local de privilegios con necesidad de privilegios de ejecución de usuario.

CVE-2022-42499 CVSS 9.8:

En sms_SendMmCpErrMsg de sms_MmConManagement.c, existe una posible escritura fuera de los límites debido a un desbordamiento del búfer de la pila. Esto podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales.

CVE-2022-42498 CVSS 9.8:

En el firmware del móvil Pixel, existe una posible escritura fuera de los límites debido a una comprobación de límites omitida. Esto podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.

CVE-2022-20532 CVSS 9.8:

En parseTrackFragmentRun() de MPEG4Extractor.cpp, existe una posible lectura fuera de límites debido a un desbordamiento de enteros. Esto podría conducir a una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.

VERSIONES AFECTADAS

CVE-2023-20960:

  • Android 12.1
  • Android 13

CVE-2022-42499, CVE-2022-42498:

  • Todas las versiones de Android.

CVE-2022-20532:

  • Android 13

CVE-2023-20946:

  • Android 11
  • Android 12
  • Android 12.1
  • Android 13

CVE-2023-20948:

  • Android 12
  • Android 12.1
  • Android 13

RECOMENDACIONES

Aplique los últimos parches de seguridad en las versiones afectadas.

REFERENCIAS

https://source.android.com/security/bulletin/2023-03-01
https://source.android.com/docs/security/bulletin/pixel/2023-03-01
https://nvd.nist.gov/vuln/detail/CVE-2023-20960
https://nvd.nist.gov/vuln/detail/CVE-2022-42499
https://nvd.nist.gov/vuln/detail/CVE-2022-42498
https://nvd.nist.gov/vuln/detail/CVE-2022-20532

https://source.android.com/docs/security/bulletin/2023-02-01?hl=es-419#Versions
https://nvd.nist.gov/vuln/detail/CVE-2023-20946
https://android.googlesource.com/platform/packages/apps/Settings/+/9d2b2ca5d86be94e94f70c124a80b4db9d7a3fd0
https://nvd.nist.gov/vuln/detail/CVE-2023-20948
https://android.googlesource.com/platform/frameworks/av/+/d037f9d65f1356bc99fd8e882e641e89796029d2

Vulnerabilidades en Cisco 2023

En 2023 Cisco lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en Cisco durante el 2023. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad.

Tabla de contenidos

Vulnerabilidades en Cisco Mayo 2023

Múltiples vulnerabilidades en la interfaz de usuario basada en web de algunos switches Cisco Small Business Series podrían permitir a un atacante remoto no autenticado provocar una denegación de servicio (DoS) o ejecutar código arbitrario con privilegios de root en un dispositivo afectado. Estas vulnerabilidades se deben a una validación incorrecta de las peticiones que se envían a la interfaz web. Entre ellas se pueden encontrar 4 vulnerabilidades críticas que serán el foco de esta nota.

ANÁLISIS:

CVE-2023-20159 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.

CVE-2023-20160 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.

CVE-2023-20161 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.

CVE-2023-20189 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.

CVE-2023-20162 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N – 7.5:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado leer información no autorizada en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz basada en Web. Un ataque exitoso podría permitir al atacante leer información no autorizada en un dispositivo afectado.

VERSIONES AFECTADAS:

Firmware de los Smart Switches de la serie 250 versión 2.5.9.15 y anteriores
Firmware de los conmutadores gestionados de la serie 350, versión 2.5.9.15 y anteriores
Firmware de los conmutadores gestionados de la serie 350X: versión 2.5.9.15 y anteriores
Firmware de los conmutadores gestionados de la serie 550X: versión 2.5.9.15 y anteriores
Firmware de los Smart Switches de la serie Business 250, versión 3.3.0.15 y anteriores
Firmware de los conmutadores gestionados de la serie Business 350, versión 3.3.0.15 y anteriores
Firmware de los Smart Switches Small Business serie 200, versión 2.5.9.15 y anteriores
Firmware de los switches gestionados Small Business serie 300: versión 2.5.9.15 y anteriores
Firmware de los switches gestionados Small Business serie 500: versión 2.5.9.15 y anteriores

RECOMENDACIONES:

Actualiza a la versión del firmware de los Smart Switches de la serie 250 2.5.9.16
Actualiza a la versión del firmware de los conmutadores gestionados de la serie 3502.5.9.16
Actualiza a la versión del firmware de los conmutadores gestionados de la serie 350X 2.5.9.16
Actualiza a la versión del firmware de los conmutadores gestionados de la serie 550X 2.5.9.16
Actualiza a la versión del firmware de los Smart Switches de la serie Business 250 3.3.0.16
Actualiza a la versión del firmware de los conmutadores gestionados de la serie Business 350 3.3.0.16
Actualiza a la versión del firmware de los Smart Switches Small Business serie 200 2.5.9.16
Actualiza a la versión del firmware de los switches gestionados Small Business serie 300 2.5.9.16
Actualiza a la versión del firmware de los switches gestionados Small Business serie 500 2.5.9.16

REFERENCIAS:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv#fs

Vulnerabilidades en Cisco Abril 2023

Se han publicado varias vulnerabilidades nuevas en productos de Cisco, de entre ellas 2 son de severidad crítica, 2 de severidad alta y 5 media. Se analizarán las siguientes: CVE-2023-20036, CVE-2023-20154 y CVE-2023-20046, CVE-2023-20117, CVE-2023-20128, CVE-2023-20121, CVE-2023-20122

ANÁLISIS

CVE-2023-20036 CVSS 9.9:

Una vulnerabilidad en la interfaz de usuario web de Cisco Industrial Network Director (IND) podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada incorrecta al cargar un paquete de dispositivos. Un atacante podría explotar esta vulnerabilidad alterando la solicitud que se envía al cargar un Device Pack.

Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios como NT AUTHORITY\SYSTEM en el sistema operativo subyacente de un dispositivo afectado.

CVE-2023-20154 CVSS 9.1:

Una vulnerabilidad en el mecanismo de autenticación externa de Cisco Modeling Labs podría permitir a un atacante remoto no autenticado acceder a la interfaz web con privilegios administrativos. Esta vulnerabilidad se debe al manejo inadecuado de ciertos mensajes que son devueltos por el servidor de autenticación externa asociado. Un atacante podría explotar esta vulnerabilidad accediendo a la interfaz web de un servidor afectado. Bajo ciertas condiciones, el mecanismo de autenticación sería eludido y el atacante podría iniciar sesión como administrador.

Un ataque exitoso podría permitir al atacante obtener privilegios administrativos en la interfaz web de un servidor afectado, incluyendo la capacidad de acceder y modificar cada simulación y todos los datos creados por el usuario. Para explotar esta vulnerabilidad, el atacante necesitaría credenciales de usuario válidas almacenadas en el servidor de autenticación externo asociado.

CVE-2023-20046 CVSS 8.8:

Una vulnerabilidad en la función de autenticación SSH basada en claves del software Cisco StarOS podría permitir a un atacante remoto autenticado elevar privilegios en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de las credenciales proporcionadas por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una clave SSH válida con privilegios bajos a un dispositivo afectado desde un host que tenga una dirección IP configurada como origen para una cuenta de usuario con privilegios altos.

Un exploit exitoso podría permitir al atacante iniciar sesión en el dispositivo afectado a través de SSH como un usuario con privilegios altos.

CVE-2023-20102 CVSS 8.8:

Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Secure Network Analytics podría permitir a un atacante remoto autenticado ejecutar código arbitrario en el sistema operativo subyacente.

Esta vulnerabilidad se debe a un saneamiento insuficiente de los datos proporcionados por el usuario que se analizan en la memoria del sistema. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Un ataque exitoso podría permitir al atacante ejecutar código arbitrario en el sistema operativo subyacente como usuario administrador.

CVE-2023-20107 CVSS 7.5:

Una vulnerabilidad en el generador de bits aleatorios determinista (DRBG), también conocido como generador de números pseudoaleatorios (PRNG), en Cisco Adaptive Security Appliance (ASA) Software y Cisco Firepower Threat Defense (FTD) Software para Cisco ASA 5506-X, ASA 5508-X, y ASA 5516-X Firewalls podría permitir a un atacante no autenticado, remoto para causar una colisión criptográfica, permitiendo al atacante para descubrir la clave privada de un dispositivo afectado.

Esta vulnerabilidad se debe a una entropía insuficiente en el DRBG para las plataformas de hardware afectadas al generar claves criptográficas. Un atacante podría explotar esta vulnerabilidad generando un gran número de claves criptográficas en un dispositivo afectado y buscando colisiones con los dispositivos objetivo. Un ataque exitoso podría permitir al atacante hacerse pasar por un dispositivo de destino afectado o descifrar el tráfico protegido por una clave afectada que se envía hacia o desde un dispositivo de destino afectado.

VERSIONES AFECTADAS

CVE-2023-20036:

Industrial Network Director versiones anteriores a 1.10 y posteriores

CVE-2023-20154:

  • Modeling Labs 2.3
  • Modeling Labs 2.4
  • Modeling Labs 2.5

CVE-2023-20046:

  • Software StarOS versiones anteriores a 21.22
  • Software StarOS 21.22
  • Software StarOS 21.22.n
  • Software StarOS 21.23
  • Software StarOS 21.23.n
  • Software StarOS 21.24
  • Software StarOS 21.25
  • Software StarOS 21.26
  • Software StarOS 21.27
  • Software StarOS 21.27.m
  • Software StarOS 21.28
  • Software StarOS 21.28.m

CVE-2023-20102:

  • Secure Network Analytics Manager
  • Secure Network Analytics Virtual Manager
  • Stealthwatch Management Console 2200

CVE-2023-20107:

  • Dispositivos de seguridad ASA 5506-X
  • Dispositivos de seguridad ASA 5506H-X
  • Dispositivos de seguridad ASA 5506W-X
  • Dispositivos de seguridad ASA 5508-X
  • Dispositivos de seguridad ASA 5516-X

Si se ejecutan versiones del software Cisco ASA anteriores a la versión 9.12.11 o versiones del software Cisco FTD anterior a la versión 6.4.0.

RECOMENDACIONES

CVE-2023-20036:

Actualice a la version de Industrial Network Director 1.11.3

CVE-2023-20154:

Actualice a la version de Modeling Labs 2.5.1

CVE-2023-20046:

Actualice a una de las siguientes versiones de Software StarOS:

  • 21.22.n14
  • 21.23.31
  • 21.23.n12
  • 21.25.15
  • 21.26.17
  • 21.27.6
  • 21.27.m1
  • 21.28.3
  • 21.28.m4

Además, el CVE-2023-20107 tiene una solución temporal:

Para evitar el uso de claves criptográficas potencialmente débiles, los administradores pueden generar un par de claves y un certificado correspondiente en un dispositivo de confianza externo al dispositivo Cisco ASA o Cisco FTD y, a continuación, importar el archivo PKCS #12 codificado en base 64 que contiene las claves y los certificados al dispositivo Cisco ASA o Cisco FTD mediante el comando crypto ca import pkcs12 en el modo de configuración global.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-CAeLFk6V
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cml-auth-bypass-4fUCCeG5
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-staros-ssh-privesc-BmWeJC3h

https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-stealthsmc-rce-sfNBPjcS
https://nvd.nist.gov/vuln/detail/CVE-2023-20107
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa5500x-entropy-6v9bHVYP

Vulnerabilidades en Cisco Marzo 2023

Se han publicado 18 vulnerabilidades de diversos productos de Cisco. En esta nota se cubrirán cuatro de ellas:

(CVE-2023-20055, CVE-2023-20027, CVE-2023-20072, CVE-2023-20080, CVE-2023-20049, CVE-2023-20078, CVE-2023-20079)

ANÁLISIS

CVE-2023-20055 CVSS 8:

Una vulnerabilidad en la API de gestión de Cisco DNA Center podría permitir a un atacante remoto autenticado elevar privilegios en el contexto de la interfaz de gestión basada en web en un dispositivo afectado. Esta vulnerabilidad se debe a la exposición involuntaria de información sensible. Un atacante podría explotar esta vulnerabilidad inspeccionando las respuestas de la API. En determinadas circunstancias, una explotación con éxito podría permitir al atacante acceder a la API con los privilegios de una cuenta de usuario de nivel superior. Para explotar con éxito esta vulnerabilidad, el atacante necesitaría al menos credenciales de Observador válidas.

CVE-2023-20027 CVSS 8.6:

Una vulnerabilidad en la implementación de la función IPv4 Virtual Fragmentation Reassembly (VFR) del software Cisco IOS XE podría permitir a un atacante remoto no autenticado provocar una denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe al reensamblaje incorrecto de paquetes de gran tamaño que se produce cuando VFR está activado en una interfaz de túnel o en una interfaz física configurada con una unidad de transmisión máxima (MTU) superior a 4.615 bytes. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes fragmentados a través de una interfaz habilitada para VFR en un dispositivo afectado. Un ataque exitoso podría permitir al atacante causar la recarga del dispositivo, resultando en una condición de DoS.

CVE-2023-20072 CVSS 8.6:

Una vulnerabilidad en el código de manejo de fragmentación de paquetes de protocolo de túnel en el software Cisco IOS XE podría permitir a un atacante remoto no autenticado hacer que un sistema afectado se recargue, dando lugar a una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a la gestión inadecuada de grandes paquetes fragmentados de protocolo de túnel. Un ejemplo de protocolo de túnel es Generic Routing Encapsulation (GRE). Un atacante podría explotar esta vulnerabilidad enviando paquetes fragmentados a un sistema afectado. Un ataque exitoso podría permitir al atacante causar que el sistema afectado se recargue, resultando en una condición de DoS. Nota: Sólo el tráfico dirigido al sistema afectado puede ser utilizado para explotar esta vulnerabilidad.

CVE-2023-20080 CVSS 8.6:

Una vulnerabilidad en las funciones de servidor y retransmisión de DHCP IPv6 versión 6 (DHCPv6) del software Cisco IOS e IOS XE podría permitir a un atacante remoto no autenticado desencadenar una denegación de servicio (DoS). Esta vulnerabilidad se debe a una validación insuficiente de los límites de los datos. Un atacante podría explotar esta vulnerabilidad enviando mensajes DHCPv6 falsificados a un dispositivo afectado. Una explotación exitosa podría permitir al atacante hacer que el dispositivo se recargue inesperadamente.

CVE-2023-20049 CVSS 8.6:

Una vulnerabilidad en la función de descarga de hardware de detección de reenvío bidireccional (BFD) de varias versiones de routers podría permitir a un atacante remoto no autenticado provocar el reinicio de una tarjeta de línea, lo que daría lugar a una denegación de servicio (DoS).

CVE-2023-20078 CVSS 9.8:

Una vulnerabilidad en la interfaz de gestión basada en web de Cisco IP Phone podría permitir a un atacante no autenticado, remoto inyectar comandos arbitrarios que se ejecutan con privilegios de root. Esta vulnerabilidad se debe a la insuficiente validación de la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una solicitud a la web que gestiona la interfaz. Un ataque exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado.

CVE-2023-20079 CVSS 7.5:

Una vulnerabilidad en la interfaz de gestión basada en web de Cisco IP Phone podría permitir a un atacante remoto no autenticado hacer que un dispositivo afectado se recargue, dando lugar a una denegación de servicio (DoS) condición. Esta vulnerabilidad se debe a la insuficiente validación de la entrada proporcionada por el usuario. Un atacante podría aprovecharse de esta vulnerabilidad enviando una solicitud falsificada a la interfaz de gestión basada en web. Un ataque exitoso podría permitir al atacante causar una condición de DoS.

VERSIONES AFECTADAS

CVE-2023-20055:

Esta vulnerabilidad afecta a Cisco DNA Center en la configuración por defecto.

CVE-2023-20027:

  • Enrutadores de servicios integrados de la serie 1000
  • Enrutadores de servicios integrados de la serie 4000
  • Enrutadores de software Catalyst 8000V Edge
  • Plataformas Catalyst 8200 Series Edge
  • Plataformas Catalyst 8300 Series Edge
  • Plataformas Catalyst 8500L Series Edge
  • Enrutador de servicios en la nube serie 1000V

CVE-2023-20072:

Esta vulnerabilidad afecta a los productos Cisco si ejecutan las versiones 17.9.1, 17.9.1a o 17.9.1w del software Cisco IOS XE y tienen configurada una interfaz de túnel.

CVE-2023-20080:

Esta vulnerabilidad afecta a los dispositivos Cisco si ejecutan una versión vulnerable del software Cisco IOS o IOS XE y tienen habilitados IPv6 y la función de servidor o retransmisor DHCPv6. IPv6 y DHCPv6 están desactivados en Cisco IOS e IOS XE por defecto.

CVE-2023-20049:

ASR 9000 Series Aggregation Services Routers sólo si tienen instalada una tarjeta de línea basada en Lightspeed o Lightspeed-Plus:

Para determinar qué tarjetas de línea están instaladas en el dispositivo, utilice el comando de la CLI show platform.

Las siguientes tarjetas de línea están basadas en Lightspeed:

  • A9K-16X100GE-TR
  • A99-16X100GE-X-SE
  • A99-32X100GE-TR

Las siguientes tarjetas de línea están basadas en Lightspeed-Plus:

  • A9K-4HG-FLEX-SE
  • A9K-4HG-FLEX-TR
  • A9K-8HG-FLEX-SE
  • A9K-8HG-FLEX-TR
  • A9K-20HG-FLEX-SE
  • A9K-20HG-FLEX-TR
  • A99-4HG-FLEX-SE
  • A99-4HG-FLEX-TR
  • A99-10X400GE-X-SE
  • A99-10X400GE-X-TR
  • A99-32X100GE-X-SE
  • A99-32X100GE-X-TR
  • ASR 9902 Routers compactos de alto rendimiento
  • Enrutadores compactos de alto rendimiento ASR 9903

Para determinar qué tarjetas de línea tienen activada la descarga de hardware de BFD, utilice el comando de la CLI show bfd hw-offload state.

CVE-2023-20078:

  • Teléfono IP Serie 6800 con Firmware Multiplataforma
  • IP Phone 7800 Series con Firmware Multiplataforma
  • Teléfono IP Serie 8800 con Firmware Multiplataforma

CVE-2023-20079:

  • Teléfono IP Serie 6800 con Firmware Multiplataforma
  • Teléfono IP Serie 7800 con Firmware Multiplataforma
  • Teléfono IP Serie 8800 con Firmware Multiplataforma
  • Teléfono de Conferencia IP Unificado 8831
  • Unified IP Conference Phone 8831 con Firmware Multiplataforma

RECOMENDACIONES

Para cada vulnerabilidad actualice siguiendo las instrucciones proporcionadas por Cisco.

CVE-2023-20049:

Actualizar a la versión indicada para cada versión:

  • 6.5 Migre a una versión fija.
  • 6.6 Migre a una versión fija.
  • 7.0 Migre a una versión fija.
  • 7.1 Migre a una versión fija.
  • 7.3 Migre a una versión fija.
  • 7.4 Migre a una versión fija.
  • 7.5 7.5.3
  • 7.6 7.6.2
  • 7.7 y posteriores 7.7.1

Cisco ha publicado las siguientes SMU para solucionar esta vulnerabilidad.

Nota: Se recomienda a los clientes que necesiten SMU para versiones que no aparezcan en la siguiente tabla que se pongan en contacto con su organización de soporte.

7.1.3     ASR9K-X64     asr9k-x64-7.1.3.CSCwc39336
7.3.2     ASR9K-X64     asr9k-x64-7.3.2.CSCwc39336
7.5.2     ASR9K-X64     asr9k-x64-7.5.2.CSCwc39336

En el aviso de seguridad se explican dos soluciones alternativas. La única solución que mitiga completamente esta vulnerabilidad es desactivar la descarga de hardware de BFD. La creación de listas de control de acceso a la infraestructura (iACL) es una solución que sólo limita la superficie de ataque.

CVE-2023-20078 y CVE-2023-20079:

Teléfonos IP de las series 6800, 7800 y 8800:

Cisco Multiplatform Firmware Release CVE-2023-20078 CVE-2023-20079

Anterior a 11.3.7SR1 11.3.7SR1 Migrar a una versión corregida.
12.0.1 No afectada. No afectado.

Unified IP Conference Phone 8831 y Unified IP Conference Phone 8831 con firmware multiplataforma han entrado en el proceso de fin de vida útil, por lo que no dispondrán de actualizaciones de software.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://nvd.nist.gov/vuln/detail/CVE-2023-20055
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-privesc-QFXe74RS
https://nvd.nist.gov/vuln/detail/CVE-2023-20027
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipv4-vfr-dos-CXxtFacb
https://nvd.nist.gov/vuln/detail/CVE-2023-20072
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-gre-crash-p6nE5Sq5
https://nvd.nist.gov/vuln/detail/CVE-2023-20080
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-dhcpv6-dos-44cMvdDK

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP