Publicado el

Múltiples vulnerabilidades en ArubaOS-Switch de HPE Aruba

HPE Aruba Networking ha lanzado actualizaciones que abordan múltiples vulnerabilidades de severidad alta. Su explotación podría permitir a un atacante ejecutar secuencias de comandos entre sitios (XSS), provocar una denegación de servicio (DoS) o una corrupción de memoria.

Análisis
 
    • La vulnerabilidad CVE-2023-39266 afecta a interfaz de administración web de ArubaOS-Switch y podría permitir que un atacante remoto, no autenticado, lleve a cabo un ataque de secuencias de comandos entre sitios (XSS) almacenado contra un usuario de la interfaz. La explotación exitosa podría permitir a un atacante ejecutar código de script arbitrario en el navegador de la víctima en el contexto de la interfaz afectada.
    • La vulnerabilidad CVE-2023-39267 podría provocar ejecución remota de código autenticado en la interfaz de línea de comando en ArubaOS-Switch. La explotación exitosa da como resultado una condición de denegación de servicio (DoS) en el conmutador.
    • La vulnerabilidad CVE-2023-39268 de corrupción de memoria en ArubaOS-Switch podría provocar la ejecución remota de código, no autenticado, al recibir paquetes especialmente diseñados. La explotación exitosa de esta vulnerabilidad da como resultado la capacidad de ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente.

 

Recursos afectados

Modelos de HPE Aruba Networking Switch:

    • Aruba 5400R Series Switches;
    • Aruba 3810 Series Switches;
    • Aruba 2920 Series Switches;
    • Aruba 2930F Series Switches;
    • Aruba 2930M Series Switches;
    • Aruba 2530 Series Switches;
    • Aruba 2540 Series Switches.

Versiones de las ramas de desarrollo de software:

    • ArubaOS-Switch 16.11.xxxx: KB/WC/YA/YB/YC.16.11.0012 y anteriores.
    • ArubaOS-Switch 16.10.xxxx: KB/WC/YA/YB/YC.16.10.0025 y anteriores.
    • ArubaOS-Switch 16.10.xxxx: WB.16.10.23 y anteriores.
    • ArubaOS-Switch 16.09.xxxx: todas las versiones.
    • ArubaOS-Switch 16.08.xxxx: KB/WB/WC/YA/YB/YC.16.08.0026 y anteriores.
    • ArubaOS-Switch 16.07.xxxx: todas las versiones.
    • ArubaOS-Switch 16.06.xxxx: todas las versiones.
    • ArubaOS-Switch 16.05.xxxx: todas las versiones.
    • ArubaOS-Switch 16.04.xxxx: KA/RA.16.04.0026 y anteriores.
    • ArubaOS-Switch 16.03.xxxx: todas las versiones.
    • ArubaOS-Switch 16.02.xxxx: todas las versiones.
    • ArubaOS-Switch 16.01.xxxx: todas las versiones.
    • ArubaOS-Switch 15.xx.xxxx: 15.16.0025 y anteriores.

Recomendaciones

Para abordar las vulnerabilidades se recomienda actualizar el software a las siguientes versiones:

    • ArubaOS-Switch 16.11.xxxx: KB/WC/YA /YB/YC.16.11.0013 y superiores;
    • ArubaOS-Switch 16.10.xxxx: WB.16.10.0024 y superior;
    • ArubaOS-Switch 16.08.xxxx: KB/WB/WC/YA/YB/YC.16.08.0027 y superiores;
    • ArubaOS-Switch 16.04.xxxx: KA/RA.16.04.0027 y superiores;
    • ArubaOS-Switch 15.xx.xxxx: A.15.16.0026 y superior.

Referencias

 
Publicado el

Alerta de vulnerabilidad crítica: redes de operaciones de VMware Aria en riesgo de ataques remotos

VMware ha lanzado actualizaciones de software para corregir dos vulnerabilidades de seguridad en Aria Operations for Networks que podrían explotarse para evitar la autenticación y obtener la ejecución remota de código.

Análisis

La vulnerabilidad más grave es CVE-2023-34039 (puntuación CVSS: 9,8), que se relaciona con un caso de omisión de autenticación que surge como resultado de la falta de generación de clave criptográfica única. Un actor malicioso con acceso a la red de Aria Operations for Networks podría eludir la autenticación SSH para obtener acceso a la CLI de Aria Operations for Networks.

La segunda vulnerabilidad, CVE-2023-20890 (puntuación CVSS: 7,2), es una vulnerabilidad de escritura de archivos arbitraria que afecta a Aria Operations for Networks y que podría ser abusada por un atacante con acceso administrativo para escribir archivos en ubicaciones arbitrarias y lograr la ejecución remota de código.

Recursos afectados

    • Versiones 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 y 6.10 de VMware Aria Operations Networks

Recomendaciones

    • Actualizar la plataforma a la versión 6.11.0 que viene con correcciones para los dos defectos.

Referencias

 
Publicado el

Campaña de correos electrónicos maliciosos que pretenden infectar equipos con ransomware

Se ha detectado una nueva campaña de correos electrónicos fraudulentos que tratan de infectar los equipos de las empresas con un ransomware. La campaña detectada va dirigida a empresas de arquitectura, aunque no se descarta que su radio de acción se amplíe a otros sectores. Los ciberdelincuentes suplantan la identidad de una conocida empresa fotográfica solicitando un presupuesto con el que ganarse la confianza del destinatario y poder, finalmente, enviarle unos archivos infectados.
 
Análisis

Varios trabajadores han recibido un correo fraudulento en el que se les solicita presupuesto para realizar una obra. Este correo, aparentemente legítimo, suplanta la identidad de una conocida empresa de fotografía y, en su nombre, solicita el presupuesto. Este primer correo aparenta ser real, ya que emplea una comunicación correcta y ajustada al destinatario. Esta técnica se conoce como ataque dirigido.

Correo fraude de contactoCon este primer correo, logran ganarse la confianza del receptor, quien desconocedor del fraude, responde al mensaje indicando sus servicios. 
En el segundo correo, el ciberdelincuente concreta la fecha y hora de una hipotética cita. Además, le envía un tercer correo con un archivo adjunto en el que se encuentran los detalles del proyecto que ha encargado y en el cuerpo del correo se indica la contraseña de dicho archivo adjunto.

Correo fraude interactuación con la víctima

 

Como se puede apreciar en la contestación de los ciberdelincuentes, detrás del engaño existen personas, ya que no se trata de correos automatizados. De esta forma es mucho más fácil que logren su objetivo para ganarse la confianza del receptor, ya que es difícil desconfiar de una redacción tan correcta y personalizada. Por tanto, si el destinatario descarga y ejecuta los documentos que ha recibido en el correo por parte del supuesto cliente, su dispositivo quedará infectado por ransomware, mostrando el siguiente mensaje:

Correo ransomware

Recomendaciones

Si se recibe un correo electrónico como el que se describe en el aviso, se recomienda eliminarlo inmediatamente y ponerlo en conocimiento del resto de empleados, así como de las autoridades, para evitar posibles víctimas.  
En caso de haber respondido al correo, haber recibido los archivos infectados y haberlos ejecutado, se recomienda desconectar el equipo de la red lo más pronto posible y cortar todo tipo de comunicación con el ciberdelincuente. 
Se recomienda apagar el equipo cuanto antes con el objetivo de detener la propagación del cifrado de archivos que el malware está realizando. Tras ello, lo idóneo será contactar con un técnico que ofrezca asistencia para poder desencriptar los archivos.
 
Referencias
 
Publicado el

Actualizaciones de seguridad en Endpoint Manager Mobile (MobileIron)

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad por parte de Ivanti, sobre una vulnerabilidad de omisión de autenticación explotada activamente catalogada bajo el CVE-2023-35078

Este fallo afecta al software de gestión de dispositivos móviles Endpoint Manager Mobile, anteriormente conocido como MobileIron, una plataforma EMM (Enterprise Mobile Management) basada en la nube que las empresas utilizan para proteger y administrar documentos, aplicaciones y contenido corporativo en teléfonos móviles y tablets. Según la información disponible, la vulnerabilidad es de fácil explotación.

ANÁLISIS

La base de datos del NIST ha registrado la vulnerabilidad descrita, pero por el momento no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad reportada como crítica. Desde la compañía se ha admitido públicamente que esta vulnerabilidad ha sido explotada activamente, reconociendo en este artículo que se han detectado ataques contra un número limitado de clientes. Asimismo, por el momento, no se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado ni exploits que aprovechen la vulnerabilidad reportada.

RECURSOS AFECTADOS

La vulnerabilidad reportada afecta a las siguientes versiones:

    • Endpoint Manager Mobile: versiones 11.8 y anteriores
    • Endpoint Manager Mobile: versiones 11.9 y anteriores
    • Endpoint Manager Mobile: versiones 11.10 y anteriores

 

RECOMENDACIONES

Se recomienda encarecidamente que todos los administradores de red apliquen los parches de Ivanti Endpoint Manager Mobile (MobileIron) lo antes posible.

    • Endpoint Manager Mobile versión 11.8: Actualizar a la versión 11.8.1.1.
    • Endpoint Manager Mobile versión 11.9: Actualizar a la versión 11.9.1.1.
    • Endpoint Manager Mobile versión 11.10: Actualizar a la versión 11.10.0.2.

REFERENCIAS