Publicado el

Actualizaciones de seguridad en Endpoint Manager Mobile (MobileIron)

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad por parte de Ivanti, sobre una vulnerabilidad de omisión de autenticación explotada activamente catalogada bajo el CVE-2023-35078

Este fallo afecta al software de gestión de dispositivos móviles Endpoint Manager Mobile, anteriormente conocido como MobileIron, una plataforma EMM (Enterprise Mobile Management) basada en la nube que las empresas utilizan para proteger y administrar documentos, aplicaciones y contenido corporativo en teléfonos móviles y tablets. Según la información disponible, la vulnerabilidad es de fácil explotación.

ANÁLISIS

La base de datos del NIST ha registrado la vulnerabilidad descrita, pero por el momento no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad reportada como crítica. Desde la compañía se ha admitido públicamente que esta vulnerabilidad ha sido explotada activamente, reconociendo en este artículo que se han detectado ataques contra un número limitado de clientes. Asimismo, por el momento, no se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado ni exploits que aprovechen la vulnerabilidad reportada.

RECURSOS AFECTADOS

La vulnerabilidad reportada afecta a las siguientes versiones:

    • Endpoint Manager Mobile: versiones 11.8 y anteriores
    • Endpoint Manager Mobile: versiones 11.9 y anteriores
    • Endpoint Manager Mobile: versiones 11.10 y anteriores

 

RECOMENDACIONES

Se recomienda encarecidamente que todos los administradores de red apliquen los parches de Ivanti Endpoint Manager Mobile (MobileIron) lo antes posible.

    • Endpoint Manager Mobile versión 11.8: Actualizar a la versión 11.8.1.1.
    • Endpoint Manager Mobile versión 11.9: Actualizar a la versión 11.9.1.1.
    • Endpoint Manager Mobile versión 11.10: Actualizar a la versión 11.10.0.2.

REFERENCIAS

 
Publicado el

Actualizaciones de seguridad para productos Apple

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad en Apple en el que se destaca una vulnerabilidad, identificada bajo el CVE-2023-38606, y que afecta a sus productos con sistemas operativos iOS, iPadOS y macOS. Cabe señalar que dicha vulnerabilidad, la cual ha sido reportada por un investigador anónimo, permite ejecutar código arbitrario en el sistema de destino. 

Analisis

La base de datos del NIST no ha registrado la vulnerabilidad descrita, por lo que aún no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad identificada como crítica.                     

Apple ha informado de que tiene conocimiento de que la vulnerabilidad ha podido ser explotada de manera activa, pero no se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados ni exploits que aprovechen el fallo reportado. 

Recursos afectados 

La vulnerabilidad reportada afecta a las siguientes versiones:

macOS: versiones anteriores a 13.4.1 (a)

iOS: versiones anteriores a 16.5.1 (a)

iPadOS: versiones anteriores a 16.5.1 (a) 

RECOMENDACIONES 

Se recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. 

Los errores han sido corregidos por Apple en las versiones iOS 16.6, iPadOS 16.6 y macOS 13.5.

 

Las actualizaciones pueden encontrarse en el siguiente enlace:

Actualizaciones de seguridad

Además de lo anterior, el fabricante proporciona las instrucciones siguientes para facilitar la correcta aplicación de las mismas:

Actualizar el software de iPhone o iPad

Actualizar macOS en Mac

 
Referencias
Publicado el

Campaña de phishing con imágenes QR

Se ha detectado una campaña de phishing en la que se están utilizando imágenes QR para que el usuario acceda a enlaces maliciosos.

Detalle

Los correos detectados simulan una notificación de Microsoft en la que se pide al usuario «actualizar su información» desde el enlace del QR.

En realidad, lo que hace el enlace es registrar los usuarios que han entrado para obtener un listado de usuarios susceptibles a estos engaños. El enlace lleva un identificador único para cada usuario al que se envía el correo de phishing. Tras registrar al usuario como víctima potencial de futuras campañas, el enlace redirige al navegador Google o Bing, intentando resultar así menos sospechoso.

En este caso se trata de un ataque de ingeniería social para obtener estos listados de usuarios susceptibles, pero en campañas futuras el mismo método podría llevar a robo de credenciales, pagos a la entidad equivocada por suplantación, descarga de malware…

Muestra

Se ha anonimizado el usuario y el QR de un correo real para mostrarlo como ejemplo del formato que sigue actualmente esta campaña:


Recomendaciones

En caso de recibir un correo con un formato similar al de la imagen, se recomienda desconfiar por defecto y acceder sólo después de comprobar concienzudamente el correo o, si carece de conocimientos técnicos al respecto, contactar por otra vía con el personal de Microsoft para comprobar la legitimidad del correo.

Se recomienda revisar el dominio de cualquier enlace QR, especialmente uno que llegue a su correo. Si el dominio no se corresponde con la entidad esperada, desconfíe del enlace y acceda sólo si puede confirmar su legitimidad por otras vías.

Si la aplicación que utiliza para escanear códigos QR accede automáticamente a los enlaces de estos códigos, se recomienda desactivar esa opción o buscar una aplicación que permita visualizar el enlace antes de acceder al mismo.

Publicado el

Vulnerabilidad que afecta a los procesadores Intel

Se ha dado a conocer los detalles de un nuevo ataque de canal lateral dirigido a procesadores Intel.

El ataque, denominado Downfall, ha sido descubierto por un investigador de Google y se ha identificado la vulnerabilidad como CVE-2022-40982.

Análisis

El atacante podría explotar la vulnerabilidad teniendo acceso físico al dispositivo o mediante el uso de un malware. Como resultado, se podría obtener información sensible, como contraseñas y claves criptográficas de los usuarios que han usado el mismo dispositivo. Estos ataques de canal lateral también funcionan contra entornos cloud, permitiendo al atacante robar información de los usuarios que han usado el servicio.

Los ataques de este tipo que afectan a los procesadores se pueden resumir de la siguiente manera:

La CPU se ve obligada a leer datos a los que el usuario no debería tener acceso. Por lo que el software no tiene acceso a la clave de cifrado utilizada para proteger los datos confidenciales pero, si se le indica a la CPU que “lea la clave de cifrado en una dirección determinada”, ésta no debería ejecutar dicha instrucción.

La vulnerabilidad llega en forma de ejecución especulativa de instrucciones, una característica importante de las CPU modernas que existe desde hace casi tres décadas. En lugar de esperar a que termine una instrucción, el procesador ejecuta la siguiente en paralelo, de tal forma que si la primera instrucción comprueba los derechos de acceso a información sensible, en teoría, no debería permitir la ejecución de la siguiente instrucción para leer esa información, sin embargo, ya es demasiado tarde: la siguiente instrucción se ejecuta de forma especulativa. Aunque el atacante no tenga acceso directo a estos datos, la CPU sí.

Recursos afectados:

      • Los procesadores Intel afectados incluyen desde la 6ª generación Skylake hasta la 11ª generación Tiger Lake.

Recomendaciones

Intel recomienda que los usuarios de los procesadores Intel afectados actualicen a la última versión del firmware proporcionada por el fabricante del sistema que solucione estos problemas.

Referencias

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40982

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/secure-coding/loading-microcode-os.html