Autor: Seguridad CSIRT-CV

Se ha detectado una campaña de correos electrónicos fraudulentos, que fingiendo una notificación de un rembolso de impuestos, contiene un enlace a un falso formulario de la agencia tributaria donde se solicitan los datos personales.

Los correos detectados en esta campaña siguen una estructura similar.

Se trata de correos cuyo remitente figura como «Agencia Tributaria» pero la dirección de correo remitente es «reembolso@golf855.startdedicated[.]net«, sin ninguna relación con la Agencia Tributaria.

Los correos detectados hasta ahora tienen como los siguientes asuntos, aunque no se descarta que puedan variar introduciendo nuevas combinaciones en la parte final «-ESXXX»

• • Reembolso de impuestos – ESIFGU7656789876RDYIU765
  • Reembolso de impuestos – ESTRG765TY87789FGKLIJH
  • Reembolso de impuestos – ES8765RTYHGFGHJUY78
  • Reebolso de impuestos – ESUYT656589787RFYGUI876

Dichos correos llevan adjunto el siguiente enlace, catalogado como malicioso

• • https://auth-serveronline-serv[.]de/httpssedeagenciatributarageniagobesSededeclaracisinaonesinformativasompuestostasasimestosobreactividadeseconomicas/

(https://www.virustotal.com/gui/url/76aa113ed942f101cbfa7dcabf273b699c0bc4e6656681a350eedc0748318fda)

A continuación se adjunta una captura de pantalla del aspecto de la pagina cuando se accede, donde se aprecia que se trata de una falsificación con un gran detalle.

Recomendaciones

Aunque se ha comprobado que actualmente parece que la pagina ya no está activa, si se ha recibido un correo electrónico como el descrito mas arriba, se recomienda no responder, ni interactuar con el enlace, ni rellenar el formulario y eliminar el correo inmediatamente. También se recomienda ponerlo en conocimiento del equipo de IT y del resto de empleados para evitar posibles víctimas.

En caso de haber respondido al correo e, incluso, haber proporcionado algún tipo de información, recomendamos recopilar las evidencias, por ejemplo, en forma de capturas de pantalla, y contactar con la Agencia Tributaria sobre el correo recibido a través de su página de ayuda.

El pasado jueves 23 de mayo, Google implementó soluciones para abordar una vulnerabilidad de seguridad de alta gravedad en su navegador Chrome que, según dijo, había sido explotada en la naturaleza.

Asignado el identificador CVE-2024-5274, la vulnerabilidad se relaciona con un error de confusión de tipos en el motor V8 JavaScript y WebAssembly. Fue informado por Clément Lecigne del Grupo de Análisis de Amenazas de Google y Brendon Tiszka de Chrome Security el 20 de mayo de 2024.

Las vulnerabilidades de confusión de tipos ocurren cuando un programa intenta acceder a un recurso con un tipo incompatible. Puede tener graves consecuencias, ya que permite a los actores de amenazas realizar accesos a la memoria fuera de los límites, provocar un bloqueo y ejecutar código arbitrario.

Así mismo, reconoció que existe un exploit para CVE-2024-5274 en la naturaleza por lo que recomienda aplicar la actualización mas reciente para corregir la vulnerabilidad reportada.

Versiones Afectadas

• • Versiones anteriores a 125.0.6422.112/.113 de Chrome para Windows y macOS, y a la versión 125.0.6422.112 para Linux.

Recomendaciones

• • Se recomienda a los usuarios actualizar a la versión 125.0.6422.112/.113 de Chrome para Windows y macOS, y a la versión 125.0.6422.112 para Linux para mitigar posibles amenazas.

También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Referencias

• • https://thehackernews.com/2024/05/google-detects-4th-chrome-zero-day-in.html

Introducción

GitHub Enterprise Server (GHES) contiene una vulnerabilidad de severidad crítica, de tipo omisión de autenticación y que fue detectada dentro del programa bug bounty del propio fabricante, cuya explotación podría permitir a un atacante falsificar una respuesta SAML y obtener privilegios de administrador.

Análisis

La vulnerabilidad afecta a SAML SSO con la función opcional de aserciones cifradas. Un atacante podría falsificar una afirmación (claim) SAML que contenga información correcta sobre el usuario. Cuando GHES procese dicha afirmación errónea no podrá validar su firma correctamente, lo que permitirá a un atacante obtener acceso a la instancia de GHES. Se tienen constancia de la publicación de una prueba de concepto (PoC) asociada a esta vulnerabilidad. Se ha asignado el identificador CVE-2024-4985 para esta vulnerabilidad y, aunque aún no ha sido corroborado por ninguna entidad oficial, Github la ha catalogado como Crítica al darle un valor de 10.0 siguiendo el CVSS 4.0.

Versiones Afectadas

GitHub Enterprise Server, versiones:

• • desde 3.12.0 hasta 3.12.3.
  • desde 3.11.0 hasta 3.11.9.
  • desde 3.10.0 hasta 3.10.11.
  • desde 3.9.0 hasta 3.9.14.

Recomendaciones

Actualice GitHub Enterprise Server a las versiones:

• • 3.12.4;
  • 3.11.10;
  • 3.10.12;
  • 3.9.15.

Referencias

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-omision-de-autenticacion-en-github-enterprise-server

https://nvd.nist.gov/vuln/detail/CVE-2024-4985

Introducción

Veeam ha publicado un aviso de seguridad indicando a sus clientes que parcheen una vulnerabilidad de seguridad crítica. Esta, permite a atacantes no autentificados iniciar sesión, en cualquier cuenta, a través de Veeam Backup Enterprise Manager (VBEM).

Análisis

Versiones Afectadas

Veeam Backup & Replication versiones 5.0, 6.1, 6.5, 7.0, 8.0, 9.0, 9.5, 10, 11, 12 y 12.1

Recomendaciones

Actualice a Veeam Backup Enterprise Manager 12.1.2.172.

Referencias

    https://thehackernews.com/2024/05/critical-veeam-backup-enterprise.html

    https://www.veeam.com/kb4581