Publicado el

[SCI] Múltiples vulnerabilidades en productos Carlo Gavazzi Controls

Introducción

El fabricante de componentes electrónicos Carlo Gavazzi Controls S.p.A[1] ha reportado 11 vulnerabilidades en varios de sus productos, siendo 6 de severidad crítica, 4 altas y 1 media gracias al trabajo de la investigadora, Vera Mens, de Claroty Research, coordinada y apoyada para esta publicación por el CERT@VDE[2].

Análisis

Se han encontrado múltiples vulnerabilidades en la familia de controladores y gateways de monitorización UWP 3.0, que darían acceso completo de un atacante al dispositivo. Las vulnerabilidades más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-22522: Un atacante remoto, no autenticado, podría hacer uso de las credenciales en texto claro para obtener acceso completo al dispositivo.

CVE-2022-22524: Un atacante remoto, no autenticado, podría utilizar una vulnerabilidad de inyección SQL para obtener acceso completo a la base de datos, modificar usuarios y detener servicios.

CVE-2022-22526: La falta de autenticación podría permitir el acceso completo a través de la API.

CVE-2022-28811: Un atacante remoto, no autenticado, podría utilizar una validación de entrada inadecuada en un parámetro enviado por la API para ejecutar comandos arbitrarios del sistema operativo.

CVE-2022-28812: Un atacante remoto, no autenticado, podría hacer uso de las credenciales en texto claro para obtener acceso de SuperUser al dispositivo.

CVE-2022-28814: El dispositivo afectado es vulnerable a un path traversal que podría permitir a los atacantes remotos leer archivos arbitrarios y obtener el control total del dispositivo.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-28816, CVE-2022-22523, CVE-2022-28813, CVE-2022-22525 y CVE-2022-28815.

Recomendaciones

Las vulnerabilidades se resuelven actualizando los productos afectados a partir de la versión 8.5.0.3, disponible desde el 27 de abril de 2022.

Referencias

[1] https://gavazziautomation.com

[2] https://cert.vde.com/en/

Publicado el

Apple soluciona dos vulnerabilidades zero-day críticas (CVE-2022-32893 y CVE-2022-32894)

Introducción

Apple ha lanzado actualizaciones para los sistemas operativos iOS, iPadOS, y macOS que solucionan varias vulnerabilidades, entre ellas dos zero-day críticas. [1]

 

Análisis

Las vulnerabilidades parcheadas más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-32894: Un problema de ejecución fuera de límites en el Kernel del sistema operativo que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con los privilegios más altos.
Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.
Se ha solucionado el problema de escritura fuera de los límites con una mejora de la comprobación de los límites.

CVE-2022-32893: Un problema de escritura fuera de límites en WebKit que podía conducir a la ejecución de código arbitrario al procesar un contenido web especialmente diseñado.
Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.

 

Recomendaciones

Ambas vulnerabilidades han sido corregidas en iOS 15.6.1, iPadOS 15.6.1 y macOS Monterey 12.5.1, por lo que se recomienda actualizar los dispositivos a estas versiones. [2] [3]

Las actualizaciones de iOS y iPadOS están disponibles para el iPhone 6s y posteriores, el iPad Pro (todos los modelos), el iPad Air 2 y posteriores, el iPad de quinta generación y posteriores, el iPad mini 4 y posteriores, y el iPod touch (séptima generación).

 

Referencias

[1] https://thehackernews.com/2022/08/apple-releases-security-updates-to.html

[2] https://support.apple.com/en-us/HT213412

[3] https://support.apple.com/en-us/HT213413

Publicado el

Sitio Web simula ser Have I Been Pwned para robar credenciales de acceso

Introducción

Have I Been Pwned es un servicio al que recurren quienes desean verificar si la contraseña que utilizan o su dirección de correo fue expuesta como consecuencia de un incidente de seguridad que sufrió algún servicio online en el que han creado una cuenta. También ofrece una amplia base de datos que recopila direcciones de correo, contraseñas y números de teléfono de más de 600 sitios web que han sido afectados por una brecha y más de 11.000 millones de cuentas expuestas. [1]

Análisis

Se ha detectado que los ciberdelincuentes han diseñado un sitio falso que simula ser el sitio oficial de Have I Been Pwned. Este sitio no solo presenta un diseño similar al oficial, sino que la URL es bastante similar, lo que puede llevar a más de uno a pensar que se trata del sitio legítimo. El objetivo principal es adquirir direcciones de correo y contraseñas de usuarios.

A continuación se muestran las diferencias entre los dos sitios:

      • En primer lugar, el sitio web original se presenta con la siguiente dirección web: https://haveibeenpwned.com/
      • Por otro lado, el sitio web falso presenta una dirección web muy similar: http://haveibeenpwned[.]online/

Ambos sitios presentan un diseño idéntico, la única diferencia se aprecia en que el dominio original usa .com y en el falso se usa .online.

Asimismo, mientras que en el sitio web original solo se requiere ingresar la dirección de correo o número de teléfono para verificar si los datos han sido expuestos a una filtración, en el sitio web falso se solicita ingresar primero la dirección de correo e inmediatamente se suma el campo para agregar la contraseña. 

Por último, para no generar sospecha en las víctimas, cuando se ingresan los datos en el sitio web falso, este redirecciona al sitio web legitimo indicando que las credenciales ingresadas no se registraron en ninguna brecha. [2]

Referencias

[1] blog.elhacker.net/2022/07/falso-sitio-de-have-i-been-pwned-para-robar-credenciales-usuarios-incautos.html

[2] welivesecurity.com/la-es/2022/07/28/falso-sitio-have-i-been-pwned-roba-contrasenas

Publicado el

Vulnerabilidades en el firmware UEFI en productos Lenovo

Introducción

Lenovo ha publicado correcciones de seguridad para solucionar tres vulnerabilidades en el firmware UEFI de más de 70 modelos portátiles de la marca. [1]

 

 

Análisis

A continuación se muestra la lista de vulnerabilidades en la BIOS de los portátiles de Lenovo:

    • CVE-2022-1890: Se ha identificado un desbordamiento de búfer en el controlador ReadyBootDxe de algunos productos para portátiles de Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.
    • CVE-2022-1891: Se ha identificado un desbordamiento del búfer en el controlador SystemLoadDefaultDxe en algunos productos de portátiles Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.
    • CVE-2022-1892: Se ha identificado un desbordamiento de búfer en el controlador SystemBootManagerDxe en algunos productos de portátiles Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.

La causa principal de estas vulnerabilidades es la insuficiente validación del parámetro DataSize, que se pasa a la función GetVariable de UEFI Runtime Services. Los actores de la amenaza pueden explotar el fallo creando una variable NVRAM especialmente manipulada, desencadenando el desbordamiento del búfer Data en la segunda llamada GetVariable.

 

 

Recomendaciones

Se recomienda la actualización de los dispositivos afectados a la última versión del firmware. La lista de modelos afectados por las tres vulnerabilidades y las actualizaciones de firmware se indican en la página de soporte de Lenovo. [2]

 

 

Referencias

 

[1] https://securityaffairs.co/wordpress/133186/security/lenovo-uefi-firmware-flaws.html
[2] https://support.lenovo.com/sk/en/product_security/len-91369