Publicado el

Vulnerabilidades en Veeam BackUp Manager

Introducción

Veeam ha publicado un aviso de seguridad indicando a sus clientes que parcheen una vulnerabilidad de seguridad crítica. Esta, permite a atacantes no autentificados iniciar sesión, en cualquier cuenta, a través de Veeam Backup Enterprise Manager (VBEM).

Análisis

CVE-2024-29849 (CVSS3.1 9.8) – Esta vulnerabilidad en Veeam Backup Enterprise Manager permite a un atacante no autenticado iniciar sesión en la interfaz web de Veeam Backup Enterprise Manager como cualquier usuario.
 
CVE-2024-29850 (CVSS3.1 8.8) – Esta vulnerabilidad en Veeam Backup Enterprise Manager permite la toma de control de cuentas a través de la retransmisión NTLM.
 

Versiones Afectadas

Veeam Backup & Replication versiones 5.0, 6.1, 6.5, 7.0, 8.0, 9.0, 9.5, 10, 11, 12 y 12.1

Recomendaciones

Actualice a Veeam Backup Enterprise Manager 12.1.2.172.

Referencias

    https://thehackernews.com/2024/05/critical-veeam-backup-enterprise.html

    https://www.veeam.com/kb4581

Publicado el

Campaña de distribución de ransomware distrubida por LockBit

INTRODUCCIÓN

A partir del 24 de abril de 2024 y continuando diariamente durante aproximadamente una semana, Proofpoint observó campañas de alto volumen con millones de mensajes facilitados por la botnet Phorpiex y entregando el ransomware LockBit Black. Esta es la primera vez que los investigadores de Proofpoint observan muestras del ransomware LockBit Black (también conocido como LockBit 3.0) siendo entregado a través de Phorpiex en volúmenes tan altos. La muestra de LockBit Black de esta campaña probablemente fue creada a partir del constructor de LockBit que se filtró durante el verano de 2023.

ANÁLISIS

Los mensajes provenían de «Jenny Green» con la dirección de correo electrónico Jenny@gsd[.]com. Los correos electrónicos contenían un archivo ZIP adjunto con un ejecutable (.exe). Se observó que este ejecutable descargaba la carga útil de LockBit Black desde la infraestructura de la botnet Phorpiex.

From: “Jenny Green” jenny@gsd[.]com
Subject: Your Document
Attachment: Document.zip

Los correos electrónicos apuntaban a organizaciones en múltiples verticales en todo el mundo y parecían ser oportunísticos en lugar de estar dirigidos específicamente. Si bien la cadena de ataque para esta campaña no era necesariamente compleja en comparación con lo observado en el panorama del cibercrimen hasta ahora en 2024, la naturaleza de alto volumen de los mensajes y el uso de ransomware como carga útil de primera etapa es notable.

La cadena de ataque requiere interacción del usuario y comienza cuando un usuario final ejecuta el ejecutable comprimido en el archivo ZIP adjunto. El binario .exe iniciará una llamada de red a la infraestructura de la botnet Phorpiex. Si tiene éxito, se descarga y detona la muestra de LockBit Black en el sistema del usuario final, donde exhibe comportamiento de robo de datos y toma el sistema, encriptando archivos y terminando servicios. En una campaña anterior, el ransomware se ejecutaba directamente y no se observaba actividad de red, lo que evitaba detecciones o bloqueos de red.

RECOMENDACIONES

En caso de haber recibido un correo electrónico como los que se describen en este aviso, es recomendable eliminarlo inmediatamente, sin acceder al enlace ni proporcionar ningún dato, y ponerlo en conocimiento del resto de compañeros y del equipo de Sistemas para evitar posibles víctimas.

Si se ha descargado el archivo, se recomienda:

    • No descomprimir el archivo bajo ningún concepto
    • Ponerse en contacto urgentemente con el equipo de CSIRT-CV

REFERENCIAS

https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware

Publicado el

Vulnerabilidades de ejecución de código en iPhones, iPads y macOS

Introducción

Apple lanzó actualizaciones de seguridad urgentes para abordar múltiples vulnerabilidades en iPhones, iPads y macOS. La compañía también advierte sobre una vulnerabilidad parcheada en marzo que cree que puede haber sido explotada como un zero-day.

Recursos Afectados

    • ipad_os: Excluding Up to 17.4
    • iphone_os: Excluding Up to 17.4
    • macos: From 14.0 to 14.4
    • apple:tvos: Excluding Up to 17.4
    • apple:visionos: Excluding Up to 1.1
    • apple:watchos: Excluding Up to 10.4

Detalle

El problema afecta a los dispositivos iPhone más antiguos, se rastrea como CVE-2024-23296 y es una falla de corrupción de memoria en RTKit.

El Kernel en tiempo real es un componente del sistema operativo responsable de gestionar y ejecutar tareas con estrictos requisitos de tiempo.

Un atacante con capacidad arbitraria de lectura y escritura del kernel puede ser capaz de eludir las protecciones de la memoria del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.

El gigante de TI solucionó el error de corrupción de la memoria con una validación mejorada, lanzó iOS 16.7.8 y iPadOS 16.7.8.

La empresa también abordó un problema lógico, rastreado como CVE-2024-27789, en el marco de la Fundación. La falla puede ser aprovechada por una aplicación para acceder a datos confidenciales del usuario.

Hay parches de seguridad disponibles para iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación.

Apple lanzó parches de seguridad para solucionar otros problemas en varios productos. Las vulnerabilidades solucionadas por el proveedor pueden provocar la ejecución de código arbitrario, escalada de privilegios, ataques de denegación de servicio y acceso no autorizado a los datos.

Solución

Aplicar el parche lanzado por la compañía para el dispositivo.

 Referencias

https://securityaffairs.com/163096/hacking/apple-iphones-zero-day-exploited.html
https://nvd.nist.gov/vuln/detail/CVE-2024-23296#range-10357489

Publicado el

Múltiples vulnerabilidades en Simple PHP Shopping Cart

Introducción

INCIBE ha coordinado la publicación de 9 vulnerabilidades: 5 de severidad crítica y 4 medias, que afectan a Asaancart Simple PHP Shopping Cart, versión 0.9, una solución de carrito de la compra especialmente desarrollada para pequeñas y medianas empresas.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

        – CVE-2024-4826: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89
        – CVE-2024-4827 a CVE-2024-4830: 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CWE-89
        – CVE-2024-4831 a CVE-2024-4834: 6.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-79

Recursos Afectados

Simple PHP Shopping Cart, versión 0.9.

Detalle

CVE-2024-4826: vulnerabilidad de inyección SQL en Simple PHP Shopping Cart que afecta a la versión 0.9. Esta vulnerabilidad podría permitir a un atacante recuperar toda la información almacenada en la base de datos enviando una consulta SQL especialmente diseñada, debido a la falta de saneamiento adecuado del parámetro categoría_id en el archivo categoría.php.

Vulnerabilidad en Simple PHP Shopping Cart 0.9 que permite una inyección de SQL. Un atacante podría aprovechar esta vulnerabilidad enviando una consulta SQL especialmente diseñada a la aplicación y recuperando toda la información almacenada en el servidor. La relación de CVE asignados es la siguiente:

CVE-2024-4827: /shop/cart.php, parámetros product_id y product_name.
CVE-2024-4828: /shop/image_viewer.php, parámetro product_id.
CVE-2024-4829: /shop/page.php, parámetro page_id.
CVE-2024-4830: product_id, parámetro /shop/product.php.

Vulnerabilidad en Simple PHP Shopping Cart 0.9 que podría permitir un XSS. Un atacante podría aprovechar esta vulnerabilidad enviando una URL artesanal a una víctima autenticada y apoderándose parcialmente de su sesión de navegador. La relación de CVE asignados es la siguiente:

CVE-2024-4831: /shop/category.php, parámetro category_name.
CVE-2024-4832: /shop/image_viewer.php, parámetro current_image.
CVE-2024-4833: /shop/page.php, parámetro page_name.
CVE-2024-4834: /shop/cart.php, parámetro product_name.

Solución

No hay solución reportada por el momento.

 

 Referencias

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-simple-php-shopping-cart

https://www.ciberseguridad.eus/ultima-hora/multiples-vulnerabilidades-en-simple-php-shopping-cart