Publicado el

Vulnerabilidades en WhatsApp permiten compromiso del dispositivo al recibir ciertos vídeos o videollamadas

Introducción

WhatsApp ha publicado dos vulnerabilidades de criticidades alta y crítica, respectivamente. Estas vulnerabilidades pueden permitir la ejecución remota de código en dispositivos no actualizados al recibir contenido especialmente alterado.

Análisis

Las versiones no actualizadas de WhatsApp y Business, tanto para Android como para iOS, tienen un problema de desbordamiento de números enteros (integer overflow) que, al establecer una videollamada especialmente manipulada por el atacante, puede resultar en ejecución remota de código (RCE). Esta vulnerabilidad ha recibido el identificador CVE-2022-36934 y una puntuación CVSS de 9,8.

Las versiones no actualizadas de WhatsApp, tanto para Android como para iOS, tienen un problema de desbordamiento negativo de números enteros (integer underflow) que, al recibir un vídeo especialmente manipulado por el atacante, puede resultar en ejecución remota de código (RCE). Esta vulnerabilidad ha recibido el identificador CVE-2022-27492 y una puntuación CVSS de 7,8.

Recursos afectados

En el caso de la vulnerabilidad ante una videollamada (CVE-2022-36934), las versiones vulnerables son:

        – WhatsApp para Android anterior a la versión v2.22.16.12

        – Business para Android anterior a la v2.22.16.12

        – WhatsApp para iOS anterior a la versión v2.22.16.12

        – Business para iOS anterior a la v2.22.16.12

En el caso de la vulnerabilidad ante el envío de un video malicioso (CVE-2022-27492), las versiones vulnerables son:

        – WhatsApp para Android anterior a la v2.22.16.2

        – WhatsApp para iOS v2.22.15.9

Recomendaciones

Se recomienda actualizar la aplicación WhatsApp y/o Business desde Play Store (Android) o desde App Store (iOS). Según cómo esté configurado el dispositivo, estas actualizaciones pueden ser automáticas, por lo que si no existe la opción de actualizar es probable que el dispositivo ya esté en la versión más actualizada. La versión, independientemente de la aplicación o sistema operativo, debería ser la v2.22.16.12 o superior.

Referencias

[1] https://nvd.nist.gov/vuln/detail/CVE-2022-36934

[2] https://nvd.nist.gov/vuln/detail/CVE-2022-27492

[3] https://derechodelared.com/whatsapp-vulnerabilidad/

Publicado el

[SCI] Múltiples vulnerabilidades en productos Carlo Gavazzi Controls

Introducción

El fabricante de componentes electrónicos Carlo Gavazzi Controls S.p.A[1] ha reportado 11 vulnerabilidades en varios de sus productos, siendo 6 de severidad crítica, 4 altas y 1 media gracias al trabajo de la investigadora, Vera Mens, de Claroty Research, coordinada y apoyada para esta publicación por el CERT@VDE[2].

Análisis

Se han encontrado múltiples vulnerabilidades en la familia de controladores y gateways de monitorización UWP 3.0, que darían acceso completo de un atacante al dispositivo. Las vulnerabilidades más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-22522: Un atacante remoto, no autenticado, podría hacer uso de las credenciales en texto claro para obtener acceso completo al dispositivo.

CVE-2022-22524: Un atacante remoto, no autenticado, podría utilizar una vulnerabilidad de inyección SQL para obtener acceso completo a la base de datos, modificar usuarios y detener servicios.

CVE-2022-22526: La falta de autenticación podría permitir el acceso completo a través de la API.

CVE-2022-28811: Un atacante remoto, no autenticado, podría utilizar una validación de entrada inadecuada en un parámetro enviado por la API para ejecutar comandos arbitrarios del sistema operativo.

CVE-2022-28812: Un atacante remoto, no autenticado, podría hacer uso de las credenciales en texto claro para obtener acceso de SuperUser al dispositivo.

CVE-2022-28814: El dispositivo afectado es vulnerable a un path traversal que podría permitir a los atacantes remotos leer archivos arbitrarios y obtener el control total del dispositivo.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-28816, CVE-2022-22523, CVE-2022-28813, CVE-2022-22525 y CVE-2022-28815.

Recomendaciones

Las vulnerabilidades se resuelven actualizando los productos afectados a partir de la versión 8.5.0.3, disponible desde el 27 de abril de 2022.

Referencias

[1] https://gavazziautomation.com

[2] https://cert.vde.com/en/

Publicado el

Apple soluciona dos vulnerabilidades zero-day críticas (CVE-2022-32893 y CVE-2022-32894)

Introducción

Apple ha lanzado actualizaciones para los sistemas operativos iOS, iPadOS, y macOS que solucionan varias vulnerabilidades, entre ellas dos zero-day críticas. [1]

 

Análisis

Las vulnerabilidades parcheadas más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-32894: Un problema de ejecución fuera de límites en el Kernel del sistema operativo que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con los privilegios más altos.
Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.
Se ha solucionado el problema de escritura fuera de los límites con una mejora de la comprobación de los límites.

CVE-2022-32893: Un problema de escritura fuera de límites en WebKit que podía conducir a la ejecución de código arbitrario al procesar un contenido web especialmente diseñado.
Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.

 

Recomendaciones

Ambas vulnerabilidades han sido corregidas en iOS 15.6.1, iPadOS 15.6.1 y macOS Monterey 12.5.1, por lo que se recomienda actualizar los dispositivos a estas versiones. [2] [3]

Las actualizaciones de iOS y iPadOS están disponibles para el iPhone 6s y posteriores, el iPad Pro (todos los modelos), el iPad Air 2 y posteriores, el iPad de quinta generación y posteriores, el iPad mini 4 y posteriores, y el iPod touch (séptima generación).

 

Referencias

[1] https://thehackernews.com/2022/08/apple-releases-security-updates-to.html

[2] https://support.apple.com/en-us/HT213412

[3] https://support.apple.com/en-us/HT213413

Publicado el

Sitio Web simula ser Have I Been Pwned para robar credenciales de acceso

Introducción

Have I Been Pwned es un servicio al que recurren quienes desean verificar si la contraseña que utilizan o su dirección de correo fue expuesta como consecuencia de un incidente de seguridad que sufrió algún servicio online en el que han creado una cuenta. También ofrece una amplia base de datos que recopila direcciones de correo, contraseñas y números de teléfono de más de 600 sitios web que han sido afectados por una brecha y más de 11.000 millones de cuentas expuestas. [1]

Análisis

Se ha detectado que los ciberdelincuentes han diseñado un sitio falso que simula ser el sitio oficial de Have I Been Pwned. Este sitio no solo presenta un diseño similar al oficial, sino que la URL es bastante similar, lo que puede llevar a más de uno a pensar que se trata del sitio legítimo. El objetivo principal es adquirir direcciones de correo y contraseñas de usuarios.

A continuación se muestran las diferencias entre los dos sitios:

      • En primer lugar, el sitio web original se presenta con la siguiente dirección web: https://haveibeenpwned.com/
      • Por otro lado, el sitio web falso presenta una dirección web muy similar: http://haveibeenpwned[.]online/

Ambos sitios presentan un diseño idéntico, la única diferencia se aprecia en que el dominio original usa .com y en el falso se usa .online.

Asimismo, mientras que en el sitio web original solo se requiere ingresar la dirección de correo o número de teléfono para verificar si los datos han sido expuestos a una filtración, en el sitio web falso se solicita ingresar primero la dirección de correo e inmediatamente se suma el campo para agregar la contraseña. 

Por último, para no generar sospecha en las víctimas, cuando se ingresan los datos en el sitio web falso, este redirecciona al sitio web legitimo indicando que las credenciales ingresadas no se registraron en ninguna brecha. [2]

Referencias

[1] blog.elhacker.net/2022/07/falso-sitio-de-have-i-been-pwned-para-robar-credenciales-usuarios-incautos.html

[2] welivesecurity.com/la-es/2022/07/28/falso-sitio-have-i-been-pwned-roba-contrasenas