Categoría: Actualidad

Introducción

Se ha publicado una segunda actualización del aviso de vulnerabilidades del 25/11/2023 ^[1] en el que se amplían los modelos afectados.

Análisis

La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:

• • CVE-2022-29830: Uso de claves de cifrado codificadas (CWE-321)^[2] :
    El impacto potencial puede incluir que la información confidencial puede divulgarse o alterarse, lo que resulta en la adquisición no autorizada de información sobre los archivos del proyecto.

El software y sus versiones afectadas:

• • GX Works3:
    • 1.000A o posteriores, y 1.011M y anteriores.
    • 1.015R o posteriores, y 1.086Q y anteriores.
    • 1.087R o posteriores.
    • 1090U [30/05/2023]
    • 1.095Z, 1.096A y posterior [30/06/2023]
  • Motion Control Settings (Software relacionado con GX Works3):
    • 1.000A a 1.033K. [30/05/2023]
    • 1.035M a 1.042U. [30/05/2023]
    • 1.045X o posteriores. [30/05/2023]

Recomendaciones

GX Works3: Descargue la versión 1.096A o posterior y actualice el software ^[3]. Ajuste la versión de seguridad a «2».

Por parte de Mitsubishi está planeada próximamente la publicación de las correcciones. Hasta entonces, se aconseja aplicar las siguientes medidas de mitigación:

• • Asegurarse que los atacantes maliciosos no puedan acceder, vía redes no confiables, a ficheros de proyectos o claves de seguridad que estén almacenadas en el ordenador/servidor y los ficheros de configuración que estén guardadas en el ordenador personal que ejecuta el software.
  • Instalar software antivirus en tu ordenador personal que ejecuta el software afectado.
  • Encriptar los ficheros de proyecto y claves de seguridad cuando se envíen o reciban a través de internet.

Referencias

[1] [SCI] Nueva vulnerabilidad crítica detectada en productos Mitsubishi Electric
[2] Multiple Vulnerabilities in Multiple FA Engineering Software
[3] https://www.mitsubishielectric.com/fa/#software

Introducción

Se han detectado campañas de correos maliciosos de tipo phishing que tienen como objetivo infectar los dispositivos con el malware conocido como Grandoreiro. 

Análisis

Los correos electrónicos detectados siguen el siguiente patrón:

En una de las campañas, el usuario recibe un correo electrónico, que parece provenir de una entidad de confianza, como, por ejemplo, una compañía de seguros. En el asunto se habla de un ‘aviso de transferencia’.

En el mensaje, dirigido al usuario que aparece en la dirección del correo electrónico, hace referencia al abono de una factura detallada en un fichero adjunto que se puede descargar en el enlace que se facilita.

Si el usuario descarga el archivo adjunto del enlace malicioso, este le descargará el malware Grandoreiro.

 

En otra campaña detectada, el phishing suplanta la identidad de una línea de supermercados, indicando al cliente que se le adjunta su factura electrónica.

Al pulsa en el enlace malicioso para descargar la supuesta factura, este le descargará el malware Grandoreiro comprimido en un archivo .zip.

 

En otro ejemplo, se suplanta la identidad de una conocida compañía telefónica. En este caso, se indica al titular del correo electrónico que se le ha adjuntado su factura electrónica del mes y para descargarla se debe hacer pulsar en el enlace malicioso.

Si el usuario pulsa en el enlace que, supuestamente, descarga la factura, este le descargará el malware.

Han sido detectadas, más campañas que se dirigen directamente al usuario por diferentes motivos como, por ejemplo, en nombre de una tercera empresa que suele ser proveedora. Todas tienen en común que facilitan un enlace para descargar una factura, comprobante o un documento de cualquier tipo.

En la siguiente evidencia observamos cómo se dirigen al usuario por su nombre y apellidos dando así un trato más personal y creíble.

En general, en todas las campañas detectadas, si el usuario pulsa en el enlace que acompaña al mensaje, este le descargará un malware conocido como Grandoreiro, de tipo troyano, que se caracteriza por extraer información bancaria.

No se descartan otras campañas similares donde varíe el asunto o cuerpo del mensaje.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal [2].

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

[1] Campaña de phishing que descarga malware Grandoreiro

[2] Portal: Informar de un phishing

Introducción

Medtronic ha reportado al CISA ^[1]  aviso de vulnerabilidad crítica cuya explotación exitosa podría resultar en la ejecución remota de código o una condición de denegación de servicio, afectando al sistema Paceart Optima.

 

Análisis

Esta vulnerabilidad afecta a la versión 1.11 y anteriores.

CVE-2023-31222: Si se habilita el servicio de mensajería Paceart, un usuario no autorizado podría aprovechar esta vulnerabilidad para realizar una ejecución remota de código y/o ataques de denegación de servicio (DoS) mediante el envío de mensajes especialmente diseñados al Paceart Optima system. La ejecución remota de código podría provocar la eliminación, el robo o la modificación de los datos del dispositivo cardíaco del sistema, o ser utilizado para una mayor penetración de la red.

 

Recomendaciones

Medtronic recomienda a todos los usuarios afectados que actualicen sus productos al último parche . Esta vulnerabilidad se corrigió en la versión 1.12.

Asimismo, ha proporcionado algunas mitigaciones inmediatas que los usuarios pueden aplicar para reducir el riesgo, como deshabilitar manualmente el servicio de mensajería del sistema Paceart.

 

Referencias

[1] Medtronic Paceart Optima System