Author: Seguridad CSIRT-CV

S’han detectat vulnerabilitats de severitat alta en Autodesk Revit, AutoCAD i alguns productes basats en AutoCAD, que podrien permetre a un ciberdelinqüent executar codi maliciós.

Anàlisi

La vulnerabilitat que afecta Revit és de tipus desbordament de memòria i ocorreria en obrir un arxiu DWG (DraWinG, format d’arxiu informàtic de dibuix informatitzat) maliciós, la qual cosa podria permetre a un ciberdelinqüent executar codi en el sistema afectat.

La vulnerabilitat que afecta AutoCAD implica una escriptura fora de límits per un arxiu DWF (Design Web Format, format web de disseny) maliciós, que podria provocar un bloqueig, l’execució de codi arbitrari o una exposició de dades.

Les dos vulnerabilitats requerixen la interacció de l’usuari per a ser explotades, la qual cosa reforça la importància de no obrir arxius que provinguen de fonts no fiables.

Recursos afectats

• • Autodesk Revit, versions 2022, 2023, 2024 y 2025.
  • I versions 2025 de:
    • AutoCAD
    • AutoCAD Architecture
    • AutoCAD Electrical
    • AutoCAD Mechanical
    • AutoCAD MEP
    • AutoCAD Plant 3D
    • Civil 3D
    • Advance Steel
    • AutoCAD LT
    • DWG TrueView

Recomanacions

Autodesk ha publicat actualitzacions que corregixen estes vulnerabilitats.

Es recomana als usuaris que actualitzen, com prompte millor, a les versions més recents a través d’Autodesk Access o el portal de comptes d’Autodesk.

Referències

• • https://www.incibe.es/empresas/avisos/actualiza-autodesk-revit-y-autocad-para-corregir-estas-vulnerabilidades
  • https://www.autodesk.com/trust/security-advisories/adsk-sa-2024-0013
  • https://www.autodesk.com/trust/security-advisories/adsk-sa-2024-0014
  • https://www.autodesk.com/es/products/autodesk-access/overview

Moodle ha publicat correccions per a 16 vulnerabilitats, 8 d’elles crítiques. La seua explotació podria permetre l’execució de codi remot, accés a la informació i injecció de codi, entre altres.

Anàlisis

Les vulnerabilitats crítiques es descriuen a continuació:

• • CVE-2024-43425: vulnerabilitat d’execució remota de codi a través de tipus de preguntes calculades. Es van necessitar restriccions addicionals per a evitar el risc, per la qual cosa es van afegir i/o actualitzar preguntes.
  • Degut a falta de desinfecció, és possible la lectura d’arxius, la falsificació de peticions en llocs creuats, injecció SQL o Cross-site scripting. Açò afecta les vulnerabilitats CVE-2024-43426, CVE-2024-43434, CVE-2024-43436 y CVE-2024-43439.
  • CVE-2024-43428: vulnerabilitat d’enverinament de la memòria cau en no requerir validació addicional de l’emmagatzematge local.
  • CVE-2024-43431: una comprovació insuficient de les capacitats podria permetre eliminar insígnies a les quals un usuari no té permís d’accés.
  • CVE-2024-43440: vulnerabilitat que podria provocar un risc d’inclusió d’arxius locals en restaurar còpies de seguretat en bloc.

Recursos afectats

Versions anteriors que no reben suport actualment i, a més:

• • Versions 4.4 a 4.4.1
  • Versions 4.3 a 4.3.5
  • Versions 4.2 a 4.2.8
  • Versions 4.1 a 4.1.11

Recomanacions

Actualitzar a les versions:

• • 4.4.2
  • 4.3.6
  • 4.2.9
  • 4.1.1

Referències

• • https://moodle.org/security/
  • https://moodle.org/mod/forum/discuss.php?d=461193
  • https://moodle.org/mod/forum/discuss.php?d=461194
  • https://moodle.org/mod/forum/discuss.php?d=461196
  • https://moodle.org/mod/forum/discuss.php?d=461199
  • https://moodle.org/mod/forum/discuss.php?d=461203
  • https://moodle.org/mod/forum/discuss.php?d=461206
  • https://moodle.org/mod/forum/discuss.php?d=461209
  • https://moodle.org/mod/forum/discuss.php?d=461210
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-à

Toyota ha revelat una violació de dades després que es filtrara un arxiu de 240 GB de dades robades dels seus sistemes en un fòrum de ciberdelinqüència.

L’empresa va intentar llevar importància a l’incident al·legant que el forat de seguretat té un abast limitat.

El proveïdor d’automòbils ja ha notificat l’incident a les persones afectades, però no ha facilitat detalls tècnics sobre este.

“Som conscients de la situació. El problema és d’abast limitat i no afecta tot el sistema, estem compromesos amb aquells que s’han vist afectats i proporcionarem assistència si és necessari”, va afegir el comunicat de la companyia

Els investigadors van notar que l’arxiu robat va ser creat el 25 de desembre de 2022, la qual cosa suggerix que els atacants poden haver compromés un servidor de còpia de seguretat on es van emmagatzemar les dades.

Al desembre de 2023, Toyota Financial Services (TFS) va advertir els seus clients que havia patit una filtració de dades que va exposar dades personals i financeres confidencials.

Toyota Financial Services (TFS) és la branca financera de Toyota Motor Corporation. És una filial de Toyota i presta una sèrie de servicis financers als clients i concessionaris de Toyota a tot el món. TFS oferix diversos productes financers, com ara préstecs per a automòbils, lísing i solucions d’assegurances. L’objectiu de TFS és ajudar els clients de Toyota a finançar els seus vehicles i facilitar la compra o l’arrendament de vehicles Toyota mitjançant opcions financeres flexibles i adaptades a les seues necessitats. Els servicis prestats per Toyota Financial Services (TFS) poden variar segons la regió, i els clients normalment poden accedir a estos servicis a través dels concessionaris Toyota o de plataformes en línia.

El lloc web alemany Heise va obtindre la notificació de violació de dades enviada per Toyota als clients alemanys. L’empresa els va informar que els autors de l’amenaça havien accedit a noms complets, adreces de residència, informació de contacte, detalls d’arrendament amb opció de compra i IBAN (número internacional de compte bancari).

El 17 de novembre de 2023, la banda de programari de segrest (ransomware) Medusa va reivindicar l’autoria de l’atac i va amenaçar amb filtrar les dades suposadament robades si l’empresa no pagava el rescat.

La banda de programari de segrest (ransomware) va exigir inicialment un pagament de 8.000.000 de dòlars per a esborrar les dades suposadament robades a l’empresa, i oferia l’opció d’ampliar el termini per 10.000 dòlars més al dia.

Medusa Toyota va fixar la data límit per al 26 de novembre i va publicar una mostra de les dades robades com a prova del pirateig.

Un popular expert en ciberseguretat, Kevin Beaumont, va observar per primera vegada que l’oficina de l’empresa a Alemanya tenia un Citrix Gateway vulnerable exposat en línia. Els actors de l’amenaça probablement van explotar la vulnerabilitat Citrix Bleed per a obtindre accés inicial a la xarxa de l’empresa.

• •  

Referències

• • • https://securityaffairs.com/167274/uncategorized/zerosevengroup-toyota-data-breach.html

HPE Product Security Response Team ha reportat 10 vulnerabilitats que afecten AP (Access Points) amb ArubaOS e InstantOS, 3 de severitat crítica i 7 mitjana. L’explotació d’estes vulnerabilitats podria permetre a un atacant remot executar codi/comandaments arbitraris i realitzar una denegació de servici.

Anàlisi

Les vulnerabilitats crítiques es descriuen a continuació:

• • • Vulnerabilitats en el servici Soft AP Daemon que podrien permetre a un atacant, no autenticat, realitzar un RCE. Una explotació exitosa podria permetre l’execució de comandaments arbitraris en el sistema operatiu subjacent, la qual cosa portaria a un compromís complet del sistema. S’han assignat els identificadors CVE-2024-42393 i CVE-2024-42394 per a estes vulnerabilitats.

• • • Vulnerabilitat en el servici de gestió de certificats AP que podria permetre a un atacant, no autenticat, realitzar un RCE. Una explotació exitosa podria permetre a un atacant executar comandaments arbitraris en el sistema operatiu afectat i, per tant, comprometre el sistema per complet. S’ha assignat l’identificador CVE-2024-42395 per a esta vulnerabilitat.

Recursos afectats

• • • ArubaOS 10.6.x.x: 10.6.0.0 i anteriors

    • ArubaOS 10.4.x.x: 10.4.1.3 i anteriors

    • InstantOS 8.12.x.x: 8.12.0.1 i anteriors

    • InstantOS 8.10.x.x: 8.10.0.12 i anteriors

    • Totes les versions dels següents productes EoM (End of Maintenance):

      • ArubaOS 10.5.x.x

      • ArubaOS 10.3.x.x

      • InstantOS 8.11.x.x

      • InstantOS 8.9.x.x

      • InstantOS 8.8.x.x

      • InstantOS 8.7.x.x

      • InstantOS 8.6.x.x

      • InstantOS 8.5.x.x

      • InstantOS 8.4.x.x

      • InstantOS 6.5.x.x

      • InstantOS 6.4.x.x

Recomanacions

Actualitzar els AP afectats a les versions:

• • • ArubaOS 10.6.x.x: 10.6.0.1 i posteriors
    • ArubaOS 10.4.x.x: 10.4.1.4 i posteriors
    • InstantOS 8.12.x.x: 8.12.0.2 i posteriors
    • InstantOS 8.10.x.x: 8.10.0.13 i posteriors

Referències

• • • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-hpe-aruba
    • https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04678en_us&docLocale=en_US