Posted on

Nombroses vulnerabilitats en Servidor HPE Cloudline d’HP

HP ha comunicat que hi ha 6 vulnerabilitats: 2 de severitat mitjana, 3 altes i 1 crítica que podrien explotar-se de manera remota per a permetre el desbordament de memòria (búfer), execució de codi, execució de codi arbitrari i escalada de privilegis.

Anàlisi

La vulnerabilitat de severitat crítica s’ha classificat com a autenticació inadequada i ús de credencials codificades. S’ha assignat l’identificador CVE-2022-40259 per a aquesta vulnerabilitat.

Per a les vulnerabilitats de severitat alta s’han assignat els identificadors: CVE-2022-26872, CVE-2022-2827 i CVE-2022-40242.

Per a les vulnerabilitats de severitat mitjana s’han assignat els identificadors: CVE-2022-32265 i CVE-2022-40258.

Recursos afectats

    • Servidor HPE Cloudline CL4150 Gen10, versions anteriors a 3.09.0.0.

Recomanacions

Actualitzar el microprogramari BMC a la versió 3.09.0.0 o posterior.
Per a fer-ho, cal comunicar-se amb el suport d’HPE per a realitzar la descàrrega.

Posted on

Múltiples vulnerabilitats en ArubaOS-Switch d’HPE Aruba

HPE Aruba Networking ha llançat actualitzacions que aborden múltiples vulnerabilitats de severitat alta. La seua explotació podria permetre a un atacant executar script entre llocs (XSS), provocar una denegació de servei (Dos) o una corrupció de memòria.

Anàlisi
 
    • La vulnerabilitat CVE-2023-39266 afecta interfície d’administració web d’ArubaOS-Switch i podria permetre que un atacant remot, no autenticat, duga a terme un atac de script entre llocs (XSS) emmagatzemat contra un usuari de la interfície. La seua explotació reeixida podria permetre a un atacant executar codi de script arbitrari en el navegador de la víctima en el context de la interfície afectada.
    • La vulnerabilitat CVE-2023-39267 podria provocar execució remota de codi autenticat en la interfície de script en ArubaOS-Switch. L’explotació reeixida dona com a resultat una condició de denegació de servei (Dos) en el commutador.
    • La vulnerabilitat CVE-2023-39268 de corrupció de memòria en ArubaOS-Switch podria provocar l’execució remota de codi, no autenticat, en rebre paquets especialment dissenyats. L’explotació reeixida d’aquesta vulnerabilitat dona com a resultat la capacitat d’executar codi arbitrari com a usuari privilegiat en el sistema operatiu subjacent.

Recursos afectats

Models d’HPE Aruba Networking Switch:

    • Aruba 5400R Series Switches;
    • Aruba 3810 Series Switches;
    • Aruba 2920 Series Switches;
    • Aruba 2930F Series Switches;
    • Aruba 2930M Series Switches;
    • Aruba 2530 Series Switches;
    • Aruba 2540 Series Switches.

Versions de les branques de desenvolupament de programari:

    • ArubaOS-Switch 16.11.xxxx: KB/WC/JA/YB/YC.16.11.0012 i anteriors.
    • ArubaOS-Switch 16.10.xxxx: KB/WC/JA/YB/YC.16.10.0025 i anteriors.
    • ArubaOS-Switch 16.10.xxxx: WB.16.10.23 i anteriors.
    • ArubaOS-Switch 16.09.xxxx: totes les versions.
    • ArubaOS-Switch 16.08.xxxx: KB/WB/WC/JA/YB/YC.16.08.0026 i anteriors.
    • ArubaOS-Switch 16.07.xxxx: totes les versions.
    • ArubaOS-Switch 16.06.xxxx: totes les versions.
    • ArubaOS-Switch 16.05.xxxx: totes les versions.
    • ArubaOS-Switch 16.04.xxxx: CA/RA.16.04.0026 i anteriors.
    • ArubaOS-Switch 16.03.xxxx: totes les versions.
    • ArubaOS-Switch 16.02.xxxx: totes les versions.
    • ArubaOS-Switch 16.01.xxxx: totes les versions.
    • ArubaOS-Switch 15.xx.xxxx: 15.16.0025 i anteriors.

Recomanacions

Per a abordar les vulnerabilitats es recomana actualitzar el programari a les versions següents:

    • ArubaOS-Switch 16.11.xxxx: KB/WC/JA /YB/YC.16.11.0013 i superiors;
    • ArubaOS-Switch 16.10.xxxx: WB.16.10.0024 i superior;
    • ArubaOS-Switch 16.08.xxxx: KB/WB/WC/JA/YB/YC.16.08.0027 i superiors;
    • ArubaOS-Switch 16.04.xxxx: CA/RA.16.04.0027 i superiors;
    • ArubaOS-Switch 15.xx.xxxx: A.15.16.0026 i superior.

 

Referències

 
Posted on

Alerta de vulnerabilitat crítica: xarxes d’operacions de VMware Aria en risc d’atacs remots

VMware ha llançat actualitzacions de programari per a corregir dues vulnerabilitats de seguretat en Aria Operations for Networks que podrien explotar-se per a evitar l’autenticació i obtindre l’execució remota de codi.

Anàlisi

La vulnerabilitat més greu és CVE-2023-34039 (puntuació CVSS: 9,8), que es relaciona amb un cas d’omissió d’autenticació que sorgeix com a resultat de la falta de generació de clau criptogràfica única. Un actor maliciós amb accés a la xarxa d’Aria Operations for Networks podria eludir l’autenticació SSH per a obtindre accés a la CLI d’Aria Operations for Networks.

La segona vulnerabilitat, CVE-2023-20890 (puntuació CVSS: 7,2), és una vulnerabilitat d’escriptura d’arxius arbitrària que afecta Aria Operations for Networks i que podria ser abusada per un atacant amb accés administratiu per a escriure arxius en ubicacions arbitràries i aconseguir l’execució remota de codi.

Recursos afectats

    • Versions 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 i 6.10 de VMware Aria Operations Networks

Recomanacions

    • Actualitzar la plataforma a la versió 6.11.0 que ve amb correccions per als dos defectes.

Referències

 
Posted on

Campanya de correus electrònics maliciosos que pretenen infectar equips amb el programari de segrest

Hem detectat una nova campanya de correus electrònics fraudulents que tracten d’infectar els equips de les empreses amb un programari de segrest. La campanya detectada va dirigida a empreses d’arquitectura, encara que no descartem que el radi d’acció s’amplie a altres sectors. Els ciberdelinqüents suplanten la identitat d’una coneguda empresa fotogràfica sol·licitant un pressupost amb el qual guanyar-se la confiança del destinatari i poder, finalment, enviar-li uns arxius infectats.

Anàlisi

Diversos treballadors han rebut un correu fraudulent en el qual se’ls sol·licita pressupost per a realitzar una obra. Aquest correu, aparentment legítim, suplanta la identitat d’una coneguda empresa de fotografia i, en el seu nom, sol·licita el pressupost. Aquest primer correu aparenta ser real, ja que empra una comunicació correcta i ajustada al destinatari. Aquesta tècnica es coneix com a atac dirigit.

Correo fraude de contactoAmb aquest primer correu, aconsegueixen guanyar-se la confiança del receptor que, desconeixedor del frau, respon al missatge indicant els seus serveis.
En el segon correu, el ciberdelinqüent concreta la data i l’hora d’una hipotètica cita. A més, li envia un tercer correu amb un arxiu adjunt en el qual es troben els detalls del projecte que ha encarregat i en el cos del correu s’indica la contrasenya d’aquest arxiu adjunt.

Correo fraude interactuación con la víctima

 

Com podem apreciar en la contestació dels ciberdelinqüents, darrere de l’engany hi ha persones perquè no es tracta de correus automatitzats. D’aquesta manera és molt més fàcil que aconseguisquen el seu objectiu per a guanyar-se la confiança del receptor, ja que és difícil desconfiar d’una redacció tan correcta i personalitzada. Per tant, si el destinatari descarrega i executa els documents que ha rebut en el correu per part del suposat client, el seu dispositiu quedarà infectat pel programari de segrest i mostrarà el missatge següent:

Correo ransomware

Recomancions

Si rebeu un correu electrònic com el que descrivim en l’avís, recomanem que l’elimineu immediatament i que informeu la resta d’empleats, i també les autoritats, per a evitar possibles víctimes.
En cas que hàgeu respost al correu, hàgeu rebut els arxius infectats i els hàgeu executat, recomanem que desconnecteu l’equip de la xarxa al més prompte possible i que talleu qualsevol comunicació amb el ciberdelinqüent.

Recomanem que apagueu l’equip com més prompte millor amb l’objectiu de detindre la propagació del xifratge d’arxius que el programari maliciós està realitzant. Després d’això, el més adequat és que contacteu amb un tècnic que oferisca assistència per a poder desencriptar els arxius.

 
Referències