Categoría: Actualidad

El Federal Bureau of Investigation (FBI) y la Cybersecurity and Infraestructure Security Agency (CISA) han emitido un aviso de ciberseguridad alertando de escaneos de vulnerabilidades en FortiOS por parte de actores de amenazas persistentes avanzadas. Esto correspondería a una primera fase de reconocimiento para a posteriori, llevar a cabo ataques en los sistemas vulnerables y conseguir acceso a las redes e infraestructuras de las organizaciones objetivo.

Dichas agencias comunican que los escaneos de vulnerabilidades se están llevando a cabo en los puertos 4443, 8443 y 10443 para la vulnerabilidad CVE-2018-13379 y los enumerados en las vulnerabilidades CVE-2020-12812 y CVE-2019-5591.

Recomendaciones

Se recomienda a aquellos organismos que tengan desplegados dispositivos con FortiOS, revisen y apliquen aquellas actualizaciones que remedien las vulnerabilidades mencionadas anteriormente y recopiladas en la siguiente tabla.

Dado el aumento de casos relacionados con el fraude del CEO que se están produciendo en los últimos meses, desde CSIRT-CV lanzamos esta nueva campaña “10 consejos para NO ser víctima de un fraude del CEO” con el objetivo de intentar no caer en esta estafa.

Este tipo de engaño consiste en hacer llegar un correo, remitido supuestamente por un superior de la organización, a un empleado que tenga la posibilidad de realizar transferencias o acceder a datos de cuentas, presionándole para realizar alguna operación financiera e indicándole que es confidencial y urgente.

Con esta campaña se pretende destacar la importancia de concienciar a todos los empleados, tanto de organizaciones públicas como privadas, para no ser víctimas de estos engaños. Los miembros de la organización deberían ser la primera barrera ante estos timos, los cuales cada vez son más difíciles de detectar.

Últimamente, los casos descubiertos estaban perfectamente organizados y los correos eran muy creíbles dado el nivel de detalle que presentaban.

El objetivo principal de esta campaña es evitar que se produzcan pérdidas económicas debidas a este delito y sobre todo, que seamos conscientes de los peligros a los que estamos expuestos en nuestro puesto de trabajo. #FraudeCEO #concienciaT

Visita nuestro portal concienciaT y nuestras redes sociales en Facebook y Twitter para seguir nuestros consejos diarios.

A día 10 de marzo de 2021, varias vulnerabilidades para el software BIG-IP y BIG-IQ de F5 han sido parcheadas [2]. Entre las vulnerabilidades se incluye una de ejecución de código remoto sin autenticación [1].

ANÁLISIS
Se han corregido un total de siete vulnerabilidades siendo cuatro de ellas críticas. Las vulnerabilidades se han corregido en las versiones de BIG-IP 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, y 11.6.5.3. Las vulnerabilidades son las que se listan a continuación:

• • CVE-2021-22986 (CVSS score: 9.8) [3]: la interfaz REST de iControl posee una vulnerabilidad de ejecución de código remoto sin autenticación.
  • CVE-2021-22987 (CVSS score: 9.9 )[4]: durante la ejecución en modo Appliance,la Interfaz de Usuario de Gestión de Tráfico (TMUI), también referida como utilidad de Configuración, contiene una vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
  • CVE-2021-22988 (CVSS score: 8.8)[5]: TMUI, tiene una segunda vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
  • CVE-2021-22989 (CVSS score: 8.0)[6]: durante la ejecución en modo Appliance con el firewall web avanzado (Advanced WAF) o proveedor ASM BIG-IP, la TMUI (utilidad de Configuración) tiene otra vulnerabilidad más de ejecución de código remoto con autenticación en páginas no-publicadas.
  • CVE-2021-22990 (CVSS score: 6.6)[7]: durante la ejecución en modo Appliance con el firewall web avanzado (Advanced WAF) o proveedor ASM BIG-IP, la TMUI (utilidad de Configuración) tiene de nuevo otra vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
  • CVE-2021-22991 (CVSS score: 9.0)[8]: ciertas peticiones a servidores virtuales pueden ser procesadas de manera incorrecta por el Traffic Management Mikrokernel (TMM), que podría causar un desbordamiento de buffer, resultando en un ataque de denegación de servicio. En situaciones específicas también podría permitir el rodeo del control de acceso basado en URL, o ejecución de código remoto.
  • CVE-2021-22992 (CVSS score: 9.0)[9]: una respuesta HTTP maliciosa hacia un WAF avanzado o un servidor BIG-IP ASM con una página de inicio de sesión podría disparar un desbordamiento de buffer, resultando en un ataque de denegación de servicio. En situaciones específicas también podría permitir ejecución de código remoto, resultando en el compromiso total del sistema.

El CVE-2021-22986 de ejecución de código remoto sin autenticación, también afecta a BIG-IQ (solución de administración de dispositivos BIG-IP), y ha sido corregido en las versiones 8.0.0, 7.1.0.3, y 7.0.0.2.

La explotación exitosa de las vulnerabilidades de ejecución de código remoto podrían dar lugar al compromiso total de los sistemas, incluyendo el interceptado de tráfico y movimiento lateral a través de la red.

RECOMENDACIONES
Actualizar los sistemas BIG-IP y BIG-IQ a una versión corregida tan pronto como sea posible [10].

REFERENCIAS

[1] https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/
[2] https://support.f5.com/csp/article/K02566623
[3] https://support.f5.com/csp/article/K03009991
[4] https://support.f5.com/csp/article/K18132488
[5] https://support.f5.com/csp/article/K70031188
[6] https://support.f5.com/csp/article/K56142644
[7] https://support.f5.com/csp/article/K45056101
[8] https://support.f5.com/csp/article/K56715231
[9] https://support.f5.com/csp/article/K52510511
[10] https://support.f5.com/csp/article/K84205182

A día 3 de marzo de 2021, Microsoft ha publicado una actualización de seguridad crítica para Microsoft Exchange Server que soluciona cuatro vulnerabilidades de tipo 0-day. [1]

ANÁLISIS
La actualización de seguridad corrige las vulnerabilidades designadas como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065. [3][4][5][6] Esta actualización ha sido publicada fuera del ciclo habitual de actualizaciones de Microsoft debido a la detección de exploits siendo usados activamente en ataques dirigidos. [1][8]

Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial. La explotación de estas vulnerabilidades son parte de una cadena de ataques, en la que el ataque inicial requiere establecer una conexión «desconfiable» con el servidor de Exchange en el puerto 443.

Las versiones afectadas son las siguientes:

• • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

RECOMENDACIONES
Para mitigar la primera acción de la cadena de ataques, se recomienda restringir las conexiones desconfiables con el servidor, o configurar una VPN para separar el servidor de Exchange del acceso externo.

Se recomienda instalar inmediatamente las actualizaciones de Microsoft en los servidores de Exchange con versiones afectadas, priorizando aquellos servidores de Exchange expuestos a internet.

Se recomienda comprobar los indicadores de compromiso, apoyándose en la aplicación de las reglas de detección publicadas por el equipo de Volexity y Nextron Systems. [8][9]

INDICADORES DE COMPROMISO (IOC)

Direcciones IP