Publicado el

[SCI] Avisos de seguridad de Siemens de abril de 2023

Introducción

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 nuevos avisos de seguridad, recopilando un total de 26 vulnerabilidades entre las que se incluyen 4 de severidad crítica[1] [2] [3] .

Análisis

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

CVE-2023-28489: Neutralización incorrecta de elementos especiales utilizados en un comando (‘Command Injection’) (CWE-77)

Los dispositivos afectados son vulnerables a la inyección de comandos a través del puerto 443/tcp del servidor web, si el parámetro «Operación remota» está habilitado. El parámetro está desactivado por defecto. La vulnerabilidad podría permitir a un atacante remoto no autenticado realizar la ejecución de código arbitrario en el dispositivo.

CVE-2022-32207: Permisos predeterminados incorrectos (CWE-276)

Cuando curl < 7.84.0 guarda datos de cookies, alt-svc y hsts en archivos locales, hace que la operación sea atómica finalizando la operación con un renombrado de un nombre temporal al nombre final del archivo de destino. En esa operación de renombrado, podría ampliar accidentalmente los permisos para el archivo de destino, dejando el archivo actualizado accesible a más usuarios de los previstos.

CVE-2022-40674: Uso de memoria después de ser liberada (CWE-416)

Libexpat anterior a 2.4.9 tiene un use-after-free en la función doContent en xmlparse.c.

CVE-2020-35198: Desbordamiento de enteros o Wraparound (CWE-190)

Se ha descubierto un problema en Wind River VxWorks. El asignador de memoria tiene un posible desbordamiento de enteros al calcular el tamaño de un bloque de memoria que debe asignar calloc(). Como resultado, la memoria real asignada es menor que el tamaño del búfer especificado por los argumentos, lo que provoca la corrupción de la memoria.

Los modelos afectados son:

CVE-2023-28489:

      • CP-8031 MASTER MODULE (6MF2803-1AA00)
        • Todas las versiones < CPCI85 V05
      • CP-8050 MASTER MODULE (6MF2805-0AA00)
        • Todas las versiones < CPCI85 V05

CVE-2022-32207y CVE-2022-40674:

      • SCALANCE XCM332 (6GK5332-0GA01-2AC2)
        • Todas las versiones < V2.2

CVE-2020-35198:

      • Familias de switches SCALANCE X-200, X-200IRT y X-300, modelos concretos detallados en el aviso de Siemens SSA-813746[3].

Recomendaciones

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens[4].

Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de ‘Referencias’.

Referencias

[1] SSA-472454: Command Injection Vulnerability in CPCI85 Firmware of SICAM A8000 Devices
[2] SSA-558014: Third-Party Component Vulnerabilities in SCALANCE XCM332 before V2.2
[3] SSA-813746: BadAlloc Vulnerabilities in SCALANCE X-200, X-200IRT, and X-300 Switch Families
[4] Panel de descarga de Siemens

Publicado el

Comienza la Campaña de la Renta 2022, comienza la oleada de ingeniería social

Campaña de la renta 2022

El pasado martes, 11 de abril, comenzó la Campaña de la Renta 2022, uno de los momentos preferidos por los ciberdelincuentes para suplantar a la Agencia Tributaria, a través de las variadas técnicas que proporciona la ingeniería social, en busca de nuevas víctimas.

Los atacantes se sirven del phishing (envío de mails), el smishing (envío de SMS), el vishing (llamadas fraudulentas), el qrishing (phishing oculto en códigos QR) y otras técnicas más, para incluir enlaces maliciosos con el fin de robar información personal de las víctimas como credenciales de inicio de sesión, datos bancarios o contraseñas.

Con esos datos personales, pueden usurpar la identidad a la víctima y realizar, por ejemplo, compras con el dinero de sus víctimas, solicitar prestaciones por desempleo falsas o presentar solicitudes de préstamo a nombre de otra persona, entre otras.

La ingeniería social es el arte del engaño. Utiliza técnicas de manipulación de la naturaleza humana para que realices alguna acción y el ciberdelincuente consiga su objetivo.

Normalmente, este tipo de ataques apelan a los sentimientos y emociones de las personas, y a 4 principios básicos de nuestro comportamiento:

  • Nuestra tendencia es la confianza hacia el otro.
  • A todos nos gusta que nos alaben.
  • No nos gusta decir NO.
  • Todos queremos ayudar.

Para evitar ciberestafas de ingeniería social relacionadas con la declaración de la renta, se recomienda seguir los siguientes consejos:

  • Verifica siempre el remitentede los correos electrónicos, los atacantes utilizan direcciones falsas y suelen camuflarlas. Ante la duda, no hagas clic en ningún enlace, no abras archivos adjuntos, no descargues ningún software y no respondas al mensaje, repórtalo a través del correo “csirtcv@gva.es” o elimínalo.
  • Desconfía de los correos con archivos adjuntos sospechosos, en especial si contienen supuestas facturas no solicitadas o impagadas. Llama siempre por teléfono al remitente (consulta los datos de contacto oficiales, no los del correo) para comprobar su autenticidad. Ante la duda, no descargues ni abras ningún adjunto.
  • ¿Popularidad inesperada? No agregues en tus redes sociales a contactos que no conocesde nada, pueden estar recopilando tu información para suplantar tu identidad u otros propósitos ilícitos.
  • Protege tus datos, no reveles información personal ni profesional como datos bancarios, contraseñas o números de tarjetas de crédito, a través de correos electrónicos, mensajes de texto, formularios de Internet, sorteos, llamadas telefónicas o conversaciones en público. Nunca sabes quién está al otro lado.
  • Utiliza la verificación en dos pasos, así, aunque consigan tu contraseña no podrán acceder a tu cuenta, ya que se requiere una segunda acción de verificación.
  • Evita hacer clic en enlaces que te llevan al inicio de sesiónde una web, podría ser un clon de la auténtica, diseñada para robar tus contraseñas.
  • Los atacantes pueden crear redes WIFI fraudulentascon el mismo nombre que las originales y acceder a tus datos de navegación. ¡Evita las redes sin contraseña!
  • Sé original con las preguntas de seguridadde recuperación de contraseñas: solo tú debes saber la respuesta. Preguntas y respuestas, cuanto más creativas mejor.
  • Descarga tu softwarey aplicaciones de fuentes oficiales, evita las descargas pirata o a través de enlaces no comprobados. Desactiva las descargas automáticas en tus dispositivos.
  • Usa software de seguridad en tu ordenador o dispositivo móvil, como antivirus, cortafuegos y software de protección contra phishing.
  • Si compras por Internet, hazlo en tiendas oficiales. Utilizar PayPal para pagar ofrece más seguridad al comprador. ¡Cuidado con descuentos y regalos! Si parece demasiado bueno para ser cierto, probablemente es una trampa.
  • Sé cauteloso con los mensajes de texto y de voz sospechosos. No respondas a los mensajes de texto o llamadas sospechosas que solicitan información personal o financiera. Recuerda que la Agencia Tributaria nunca solicita información personal o financiera a través de mensajes de texto o de voz.

ConcienciaT más:

Publicado el

[SCI] Múltiples vulnerabilidades en productos de Schneider Electric

Introducción

Schneider Electric ha publicado 6 avisos de seguridad que recogen 12 vulnerabilidades, 2 de ellas de severidad crítica[1] .

Análisis

Las vulnerabilidades críticas se describen a continuación:

CVE-2023-29411: Falta de autenticación para función crítica (CWE-306)
Una vulnerabilidad de falta de autenticación para funciones críticas podría permitir cambios en las credenciales administrativas, lo que llevaría a una posible ejecución remota de código sin requerir autenticación previa en la interfaz Java RMI.

Schneider Electric reconoce a los siguientes investigadores por identificar y ayudar a coordinar una respuesta a esta vulnerabilidad: CVE-2023-29411.

    • Esjay (@esj4y) en colaboración con Trend Micro Zero Day Initiative
    • Nicholas Miles en colaboración con Tenable

CVE-2023-29412: Tratamiento inadecuado de la sensibilidad a mayúsculas y minúsculas (CWE-78)
Una vulnerabilidad de manipulación inadecuada de mayúsculas y minúsculas podría causar una ejecución remota de código al manipular métodos internos a través de la interfaz RMI de Java.

Los modelos afectados son:

    • APC Easy UPS Online Monitoring Software, versión 2.5-GA-01-22320 y anteriores (Windows 10, 11 Windows Server 2016, 2019, 2022).
    • Schneider Electric Easy UPS Online Monitoring Software, versión 2.5-GS-01-22320 y anteriores (Windows 10, 11 Windows Server 2016, 2019, 2022).

Recomendaciones

Consultar los apartados de Mitigations/Remediation del aviso del fabricante [2], para aplicar las actualizaciones y/o medidas de mitigación disponibles para solucionar las vulnerabilidades identificadas.

Referencias

[1] Security notifications | Schneider Electric
[2] Easy UPS Online Monitoring Software

Publicado el

[SCI] Credenciales por defecto en ABB RCCMD

Introducción

Pablo Valle Alvear, investigador de Titanium Industrial Security, ha reportado una vulnerabilidad crítica en productos RCCMD (Remote Control Command) de ABB. Un atacante podría provocar el acceso legítimo a un nodo del sistema afectado, la detención del mismo de forma remota, tomar el control e insertar y ejecutar código arbitrario en el nodo.[1] .

 

Análisis

Existe una vulnerabilidad, en el control de acceso que un atacante, podría aprovechar para acceder al sistema con credenciales de inicio de sesión predeterminadas, otorgándole el control del producto para insertar y ejecutar código arbitrario.

CVE-2022-4126: Un atacante que explotara con éxito esta vulnerabilidad podría tomar el control de la máquina.

La vulnerabilidad afecta a las versiones anteriores a 4.40 230207 de RCCMD.

 

Recomendaciones

La vulnerabilidad se corrige instalando versiones posteriores a la 4.40 230207

 

Referencias

[1] ABB RCCMD – Use of default password