Author: Seguridad CSIRT-CV

L’Apache Software Foundation ha solucionat múltiples vulnerabilitats en el seu popular servidor HTTP Apache. Les vulnerabilitats inclouen problemes de denegació de servici (DoS), execució remota de codi i accés no autoritzat.

Una d’estes vulnerabilitats pot portar a l’exposició involuntària de codi font.

Està catalogada com a CVE-2024-39884.

Anàlisi

La vulnerabilitat CVE-2024-39884 és descrita per Apache com: “Una regressió en el nucli del servidor HTTP d’Apache ignora algun ús de la configuració basada en contingut dels programes controladors.”

És a dir, una fallada introduïda per una actualització recent permet que quan algunes directives com “AddType” són utilitzades amb determinades condicions, puguen exposar el codi font d’alguns arxius.

Esta vulnerabilitat encara no té CVSS associat, però Apache, seguint el seu criteri, l’ha catalogada com a “important”.

Recomanacions

Actualitzeu a la versió 2.4.6.1.

Referències

• • https://securityaffairs.com/165422/security/apache-source-code-disclosure-flaw-apache-http-server.html
  • https://httpd.apache.org/security/vulnerabilities_24.html

Introducció

La vulnerabilitat CVE-2024-6387 va ser descoberta i reportada l’1 de juliol de 2024 per OpenSSH. Esta deficiència crítica afecta múltiples versions d’OpenSSH, i permet a un atacant no autenticat executar codi arbitrari de manera remota amb privilegis de root.

Anàlisi

CVE-2024-6387 està en les versions 8.5p1 a 9.7p1 d’OpenSSH. La vulnerabilitat es deu a una validació insuficient de les entrades en el protocol d’autenticació. Un atacant pot enviar paquets especialment dissenyats per a explotar esta debilitat, cosa que li permet executar ordes malicioses amb privilegis elevats. Esta vulnerabilitat és crítica a causa del seu potencial per a comprometre completament els sistemes afectats.

L’explotació d’esta vulnerabilitat pot portar a la instal·lació de programari maliciós, robatori de dades i control total del sistema compromés. És crucial que els administradors de sistemes prenguen mesures immediates per a mitigar este risc.

Recomanacions

Per a mitigar el risc associat amb CVE-2024-6387, es recomana implementar les mesures següents::

• • Actualizar el Software: Asegúrese de que todas las instancias de OpenSSH se actualicen a la versión más reciente que incluye los parches de seguridad necesarios.
  • Revisión de Configuración: Revise y refuerce las configuraciones de seguridad de OpenSSH para limitar el acceso solo a usuarios autorizados.

Referencias

• • • CERT-FR – Alerte CVE-2024-6387
    • National Vulnerability Database – CVE-2024-6387

Introducció

La vulnerabilitat CVE-2024-20399 va ser descoberta per l’equip de seguretat de la firma Sygnia, que va informar a Cisco sobre l’explotació d’esta deficiència en els seus dispositius Cisco NX-OS. Esta vulnerabilitat ha sigut objecte d’atenció per la seua gravetat i per l’impacte potencial en infraestructures crítiques.

Anàlisi

La vulnerabilitat trobada és la següent:

• • CVE-2024-20399

La vulnerabilitat trobada té lloc en la interfície de línia d’ordes (CLI) del programari Cisco NX-OS. Permet a un usuari local autenticat executar ordes arbitràries com a root en el sistema operatiu subjacent del dispositiu afectat. Això es deu a la validació insuficient dels arguments passats a ordes específiques de configuració en la CLI. Per a explotar esta vulnerabilitat un atacant ha de tindre credencials d’administrador, cosa que li permetria executar ordes amb privilegis elevats, potencialment comprometent la seguretat del dispositiu i la xarxa associada.

El impacto de esta vulnerabilidad es significativo, ya que permite la ejecución de código malicioso con privilegios de root, lo que podría llevar a la instalación de malware y a un control completo del dispositivo afectado. La explotación de esta vulnerabilidad ha sido vinculada a actores estatales, lo que subraya la necesidad de una pronta mitigación.

• La sèrie de productes afectats és:
• • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode

Recomanacions

Per a mitigar el risc associat amb CVE-2024-20399, es recomana implementar les següents mesures:

• • Actualitzar el programari: Assegurar-se que tots els dispositius Cisco NX-OS estiguen actualitzats amb les últimes versions que inclouen els pedaços de seguretat rellevants.
  • Revisió de configuració: Revisar i enfortir les configuracions de seguretat en els dispositius per a limitar l’accés a usuaris autoritzats i minimitzar els vectors d’atac.

Referencias

• • • Vulmon – CVE-2024-20399
    • Cisco Security Advisory
    • Bleeping Computer – Cisco warns of NX-OS zero-day exploited

Els investigadors de ciberseguretat han detectat noves campanyes de pesca per correu electrònic (phishing) que utilitzen programari maliciós bancari actives des de juliol de 2023, amb un increment en la seua activitat fins a la data. Esta anàlisi s’ha realitzat a través de cinc xarxes de zombis diferents, gestionats per diversos grups cibercriminals.

Les mostres del programari maliciós Medusa, analitzades per Simone Mattia i Federico Valentini, de la firma de ciberseguretat Cleafy, es dirigixen a usuaris del Canadà, França, Itàlia, Espanya, Turquia, el Regne Unit i els Estats Units. Estes versions presenten menys permisos i noves funcionalitats, com la superposició de pantalla completa i la desinstal·lació remota d’aplicacions.

Medusa, també conegut com a TangleBot, és un programari maliciós sofisticat per a Android, descobert el juliol de 2020 i enfocat a entitats financeres a Turquia. Utilitza tècniques avançades per al frau mitjançant atacs de superposició per a robar credencials bancàries. El febrer de 2022, ThreatFabric va descobrir campanyes de Medusa que usaven mètodes d’entrega similars als de FluBot, i disfressaven el programari maliciós com si foren aplicacions de lliurament de paquets i utilitats.

L’última anàlisi de Cleafy revela no sols millores en el programari maliciós, sinó també l’ús d’aplicacions dropper (de troià de goteig) per a difondre Medusa amb l’aparença d’actualitzacions falses. Servicis legítims com Telegram i X s’utilitzen per a recuperar el servidor de comandament i control (C2).

Una modificació notable és la reducció en el nombre de permisos sol·licitats, la qual cosa disminuïx les possibilitats de detecció. No obstant això, continua requerint l’API de servicis d’accessibilitat d’Android per a habilitar altres permisos de manera encoberta.

Una altra innovació és la capacitat d’establir una superposició de pantalla negra en el dispositiu de la víctima, que simula un bloqueig o una apagada mentres realitza activitats malicioses.

Els clústers de xarxes de zombis de Medusa utilitzen principalment la pesca per correu electrònic per a propagar el programari maliciós, encara que les noves onades també ho fan mitjançant aplicacions dropper (de troià de goteig) de fonts que no són de confiança.

Fonts:

Medusa Reborn: A New Compact Variant Discovered: https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
ThreatFabric post: https://x.com/ThreatFabric/status/1285144962695340032
New Medusa Android Trojan Targets Banking Users Across 7 Countries: https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
SpyMax – An Android RAT targets Telegram Users: https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
Koodous post: https://x.com/koodous_project/status/1806695569932365902