Nuevas vulnerabilidades de Wi-Fi exponen los dispositivos Android y Linux a los piratas informáticos

Investigadores de ciberseguridad han identificado dos fallas de omisión de autenticación en el software Wi-Fi de código abierto que se encuentran en dispositivos Android, Linux y ChromeOS que podrían engañar a los usuarios para que se unan a un clon malicioso de una red legítima o permitir que un atacante se una a una red confiable sin una contraseña.

Análisis

Las vulnerabilidades, rastreadas como CVE-2023-52160 y CVE-2023-52161, se descubrieron tras una evaluación de seguridad de wpa_supplicant y iNet Wireless Daemon ( IWD ) de Intel, respectivamente.

 

Las vulnerabilidades permiten a los atacantes engañar a las víctimas para que se conecten a clones maliciosos de redes confiables e intercepten su tráfico, y se unan a redes que de otro modo serían seguras sin necesidad de la contraseña.

 

CVE-2023-52161, en particular, permite que un adversario obtenga acceso no autorizado a una red Wi-Fi protegida, exponiendo a los usuarios y dispositivos existentes a posibles ataques como infecciones de malware, robo de datos y compromiso del correo electrónico empresarial (BEC). Afecta a las versiones 2.12 y anteriores de IWD.

 

Por otro lado, CVE-2023-52160 afecta a las versiones 2.10 y anteriores de wpa_supplicant. También es la más apremiante de las dos vulnerabilidades, debido al hecho de que es el software predeterminado utilizado en dispositivos Android para manejar solicitudes de inicio de sesión en redes inalámbricas.

Sólo afecta a los clientes Wi-Fi que no están configurados correctamente para verificar el certificado del servidor de autenticación. CVE-2023-52161, sin embargo, afecta a cualquier red que utilice un dispositivo Linux como punto de acceso inalámbrico (WAP).

 

La explotación exitosa de CVE-2023-52160 se basa en el requisito previo de que el atacante esté en posesión del SSID de una red Wi-Fi a la que la víctima se haya conectado previamente. También requiere que el actor de la amenaza esté físicamente cerca de la víctima. 

 

Recursos afectados

    • Dispositivos Android, Linux y ChromeOS

Recomendaciones

Las principales distribuciones de Linux como Debian, Red Hat,  SUSE y Ubuntu han publicado avisos para las dos vulnerabilidades. El problema wpa_supplicant también se solucionó en ChromeOS desde la versión 118 y posteriores, pero aún no hay soluciones disponibles para Android.

Mientras tanto, es fundamental que los usuarios de Android configuren manualmente el certificado CA de cualquier red empresarial guardada para evitar el ataque. 

  • Referencias
  •  

Múltiples vulnerabilidades en productos de Liferay

Liferay ha publicado varias vulnerabilidades de diferentes severidades, de las cuales 11 son críticas y podrían permitir a un atacante inyectar secuencias de comandos de forma remota (XSS).

Análisis

Las 11 vulnerabilidades mencionadas en este aviso son de tipo Cross-site scripting (XSS) de almacenamiento y reflejadas. Un atacante remoto autenticado podría inyectar secuencias de comandos web o HTML de su elección a través de un payload diseñado en diferentes campos o parámetros.

Se han asignado los identificadores CVE-2023-40191, CVE-2024-26266, CVE-2024-26269, CVE-2023-42496, CVE-2024-25603, CVE-2024-25152, CVE-2024-25601, CVE-2024-25602, CVE-2024-25147, CVE-2024-25610 y CVE-2023-42498 para estas vulnerabilidades. 

Recursos afectados

    • Liferay Portal:
      7.2.0 y 7.2.1;
      7.3.0 a 7.3.7;
      7.4.0 a 7.4.3.4;
      7.4.0 a 7.4.2;
      7.4.0 a 7.4.3.12;
      7.4.0 a 7.4.3.38;
      7.4.0 a 7.4.3.44;
      7.4.0 a 7.4.3.97;
      Versiones anteriores no compatibles.
    • Liferay DXP:
      7.2 antes del fixpack 15, 17 y 19;
      7.3 antes de la actualización 4, 11 y 34;
      7.3 antes del service pack 3;
      7.4 antes de la actualización 9, 38, 44, 92, 97;
      7.4 (todas las versiones para CVE-2023-42496);
      2023.Q3 antes del parche 5 y 6;
      2024.Q1 antes del parche 26266, 26269, 25147, 25152, 25601, 25602, 25603 y 25610;
      Versiones anteriores no compatibles.

Recomendaciones

Actualiza a las versiones fijas en función de los recursos afectados:

    • Portal Liferay:

7.4.2
7.4.3.4
7.4.3.5
7.4.3.13
7.4.3.14
7.4.3.38
7.4.3.98

    • Liferay DXP:

7.2 15
7.2 17
7.2 20
7.3 paquete de servicio 3
7.3 actualización 4, 11 o 34
7.4 actualización 1, 9, 10, 38 o 92
2023.Q3.5
2023.Q3.6

Revisar el listado de ‘Referencias’ para identificar la versión de actualización correspondiente a la versión afectada.

Referencias

Vulnerabilidades en ConnectWise ScreenConnect

ConnectWise ha publicado dos vulnerabilidades en su software de acceso remoto ScreenConnect. ConnectWise ha podido confirmar que estas vulnerabilidades están siendo explotadas actualmente.

Análisis

Aunque aún no se les ha asignado un CVE, se identifican como:

    • Bypass de autenticación utilizando una ruta o canal alternativo (CVSS 10)
    • Problema de path traversal (CVSS 8.4)

 

Recursos afectados

    • Todas las versiones de ConnectWise ScreenConnect anteriores a 23.9.8

Recomendaciones

    • Actualice a ConnectWise ScreenConnect 23.9.8

Referencias

  •  

Múltiples vulnerabilidades que afectan a productos Zyxel

Zyxel ha lanzado parches de seguridad que corrigen múltiples vulnerabilidades en algunas versiones de firewall y puntos de acceso (AP). Las vulnerabilidades detectadas podrían permitir a un ciberdelincuente provocar condiciones de denegación de servicio (DoS) y ejecutar comandos del sistema operativo o código no autorizado de forma remota.

Análisis

Las vulnerabilidades detectadas podrían permitir a un atacante de la red local (LAN) causar problemas de denegación de servicio (DoS), ejecutar comandos del sistema operativo en el dispositivo afectado a través de FTP después de realizar la autenticación, causar condiciones de denegación de servicio (DoS) cuando la función “Deviced Insight” esté habilitada o realizar una ejecución remota de código no autorizado.

Las vulnerabilidades son las siguientes:

    • CVE-2023-6397

Una vulnerabilidad de desreferencia de puntero nulo en algunas versiones de firewall podría permitir que un atacante basado en LAN provoque condiciones de denegación de servicio (DoS) al descargar un archivo comprimido RAR diseñado en un host del lado LAN si el firewall tiene el «Anti-Malware». función habilitada.

    • CVE-2023-6398

Una vulnerabilidad de inyección de comando posterior a la autenticación en el binario de carga de archivos en algunas versiones de firewall y AP podría permitir que un atacante autenticado con privilegios de administrador ejecute algunos comandos del sistema operativo (SO) en un dispositivo afectado a través de FTP.

    • CVE-2023-6399

Una vulnerabilidad de cadena de formato en algunas versiones de firewall podría permitir que un usuario VPN IPSec autenticado cause condiciones DoS contra el demonio «deviceid» enviando un nombre de host diseñado a un dispositivo afectado si tiene la función «Device Insight» habilitada.

    • CVE-2023-6764

Una vulnerabilidad de cadena de formato en una función de la función VPN IPSec en algunas versiones de firewall podría permitir a un atacante lograr la ejecución remota no autorizada de código enviando una secuencia de cargas útiles especialmente diseñadas que contienen un puntero no válido; sin embargo, un ataque de este tipo requeriría un conocimiento detallado del diseño y la configuración de la memoria del dispositivo afectado.

 

Recursos afectados

    • Firewalls afectados:

ATP, versiones ZLD V4.32 a V5.37 Parche 1,

USG FLEX, versiones ZLD V4.50 a V5.37 Parche 1,

USG FLEX 50(W)/USG20(W)-VPN, versiones ZLD V4.16 a V5.37 Parche 1.

    • AP afectados:

NWA50AX, versión 6.29 (ABYW.3) y anteriores,

NWA55AXE, versión 6.29(ABZL.3) y anteriores,

NWA90AX, versión 6.29(ACCV.3) y anteriores,

NWA110AX, versión 6.65(ABTG.1) y anteriores,

NWA210AX, versión 6.65(ABTD.1) y anteriores,

NWA220AX-6E, versión 6.65(ACCO.1) y anteriores,

NWA1123ACv3, versión 6.65(ABVT.1) y anteriores,

WAC500, versión 6.65(ABVS.1) y anteriores,

WAC500H, versión 6.65(ABWA.1) y anteriores,

WAX300H, versión 6.60(ACHF.1) y anteriores,

WAX510D, versión 6.65(ABTF.1) y anteriores,

WAX610D, versión 6.65(ABTE.1) y anteriores,

WAX620D-6E, versión 6.65(ACCN.1) y anteriores,

WAX630S, versión 6.65(ABZD.1) y anteriores,

WAX640S-6E, versión 6.65(ACCM.1) y anteriores,

WAX650S, versión 6.65(ABRM.1) y anteriores,

WAX655E, versión 6.65(ACDO.1) y anteriores,

WBE660S, versión 6.65(ACGG.1) y anteriores,

NWA50AX-PRO, versión 6.65(ACGE.1) y anteriores,

NWA90AX-PRO, versión 6.65(ACGF.1) y anteriores.

Recomendaciones

Se recomienda a los usuarios que instalen los parches para una protección óptima.

    • Para los firewalls afectados:

ZLD V5.37 Parche 2

    • Para los AP afectados:

NWA50AX: 6.29(ABYW.4)

NWA55AXE: 6.29(ABZL.4)

NWA90AX: 6.29(ACCV.4)

NWA110AX: 6.70(ABTG.1)

NWA210AX: 6.70(ABTD.1)

NWA220AX-6E: 6.70(ACCO.1)

NWA1123ACv3: 6.70(ABVT.1)

WAC500: 6.70(ABVS.1)

WAC500H: 6.70(ABWA.1)

WAX300H: 6.70(ACHF.1)

WAX510D: 6.70(ABTF.1)

WAX610D: 6.70(ABTE.1)

WAX620D-6E: 6.70(ACCN.1)

WAX630S: 6.70(ABZD.1)

WAX640S-6E: 6.70(ACCM.1)

WAX650S: 6.70(ABRM.1)

WAX655E: 6.70(ACDO.1)

WBE660S: 6.70(ACGG.1)

NWA50AX-PRO: la revisión está disponible bajo petición. Parche estándar 6.80 (ACGE.0) en julio de 2024

NWA90AX-PRO: la revisión está disponible bajo petición. Parche estándar 6.80 (ACGF.0) en julio de 2024.

Referencias