Publicado el

Campaña CSIRT-CV: «10 ciberamenazas que han marcado 2021»

Desde CSIRT-CV iniciamos hoy una nueva campaña titulada “10 ciberamenazas que han marcado 2021”.

En esta nueva campaña de CSIRT-CV hemos puesto el foco en las ciberamenazas que han marcado el pasado año y en las medidas que debemos tomar para vivir un año 2022 ciberseguro.

En 2021 se multiplicaron los casos de robos de datos privados a través del phishing o los ciberataques de ransomware. También las fake news provocaron que se alterara nuestra convivencia, y el ciberespionaje ocasionó importantes pérdidas a las empresas e inestabilidad en los gobiernos.

El objetivo de esta campaña es que conozcáis los tipos de ciberataques más habituales en nuestros días y la mejor manera de evitarlos o hacerles frente. Los propios usuarios de Internet podemos ser la primera barrera que impida que los ciberdelincuentes accedan a nuestros datos privados o a los de las organizaciones con las que trabajamos.

Podéis ampliar esta información a través de la siguiente página de GVA así como en nuestro portal de concienciación y formación: concienciaT, donde se publicarán todos los consejos y materiales relacionados con la campaña una vez que ésta finalice.

Mientras tanto, recuerda que cada día se publicará un consejo a través de nuestras redes sociales de Facebook y Twitter.

Publicado el

Día de Internet Segura 2022

Como cada año, se celebra el segundo martes de febrero a nivel mundial, por tanto, este año celebramos el Día de Internet Segura el 8 de febrero de 2022 y en esta edición, el lema elegido ha sido:

“Juntos por una Internet mejor”

El objetivo de este día es concienciar acerca de la seguridad en Internet, y promover un uso seguro y positivo de las tecnologías digitales, sobre todo entre los menores, pero también pretende concienciar a padres y tutores, educadores, profesores, trabajadores sociales, e incluso empresas y responsables políticos.

¡Entre tod@s, podemos conseguir crear una Internet más segura!

En CSIRT-CV hemos preparado este video donde te enseñamos las diferentes campañas que tienes disponibles en nuestra web concienciaT.

Siguiendo nuestros consejos mejorarás en ciberseguridad y te ayudarán a aportar tu granito de arena para mejorar Internet y convertirla en un espacio más seguro para tod@s.

Publicado el

Múltiples Vulnerabilidades en Cisco Small Business

Introducción

Múltiples vulnerabilidades en Cisco Small Business permiten a los atacantes ejecutar códigos y comandos arbitrarios, escalar privilegios, omitir autenticación o causar denegación de servicio [1].

 

Análisis

CVE-2022-20699

Esta vulnerabilidad en el módulo SSL VPN de Cisco permite a un atacante no autenticado ejecutar código remoto. Esto es debido a la falta de comprobaciones cuando se procesa una petición HTTP.

Productos afectados:

RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

La vulnerabilidad tiene una puntuación CVSSv3 de 10.0 por lo que se considera de prioridad crítica.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad.

 

CVE-2022-20700 y CVE-2022-20701

Estas vulnerabilidades permiten a un atacante autenticado elevar privilegios hasta administrador. Esto es debido a mecanismos insuficientes de autenticación.

Productos afectados:

RV160 VPN Routers <=1.0.01.05
RV160W Wireless-AC VPN Routers <=1.0.01.05
RV260 VPN Routers <=1.0.01.05
RV260P VPN Routers with PoE <=1.0.01.05
RV260W Wireless-AC VPN Routers <=1.0.01.05
RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

Las vulnerabilidades tienen una puntuación CVSSv3 de 9.0 y 10.0 por lo que se consideran de prioridad crítica.
Actualmente no hay prueba de concepto asociada a estas vulnerabilidades.

 

CVE-2022-20703

Esta vulnerabilidad es debida a una mala verificación de las imágenes de software instaladas en el dispositivo. Un atacante sin autenticar puede instalar y ejecutar software malicioso sin firmar.

Productos afectados:

RV160 VPN Routers <=1.0.01.05
RV160W Wireless-AC VPN Routers <=1.0.01.05
RV260 VPN Routers <=1.0.01.05
RV260P VPN Routers with PoE <=1.0.01.05
RV260W Wireless-AC VPN Routers <=1.0.01.05
RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

La vulnerabilidad tiene una puntuación CVSSv3 de 9.3 por lo que se considera de prioridad crítica.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad.

 

CVE-2022-20706

Una vulnerabilidad en el Open Plug and Play (PnP) del módulo de cisco permite a un atacante sin autenticar inyectar y ejecutar comandos por debajo del sistema operativo.

Productos afectados:

RV160 VPN Routers <=1.0.01.05
RV160W Wireless-AC VPN Routers <=1.0.01.05
RV260 VPN Routers <=1.0.01.05
RV260P VPN Routers with PoE <=1.0.01.05
RV260W Wireless-AC VPN Routers <=1.0.01.05
RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers
RV345P Dual WAN Gigabit POE VPN Routers

La vulnerabilidad tiene una puntuación CVSSv3 de 8.3 por lo que se considera de prioridad alta.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad.

 

CVE-2022-20708

Una vulnerabilidad basada en el mantenimiento de la interfaz web de Cisco, permite a un atacante sin autenticar inyectar y ejecutar comandos por debajo del sistema operativo.

Productos afectados:

RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

La vulnerabilidad tiene una puntuación CVSSv3 de 10 por lo que se considera de prioridad crítica.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad.

 

CVE-2022-20711

Una vulnerabilidad en la web UI de Cisco permite a un usuario sin autenticar sobreescribir determinados archivos. Esto es debido a la falta de validación de componentes específicos en la web UI.

Productos afectados:

RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

La vulnerabilidad tiene una puntuación CVSSv3 de 8.2 por lo que se considera de prioridad alta.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad [2].

 

Recomendaciones

Cisco ya ha proporcionado parches que solucionan las vulnerabilidades. Para los productos RV340 y RV345 Series Routers, se debe actualizar a la versión 1.0.03.26.

En cambio, los productos RV160 y RV260 Series Routers se solucionarán en el parche de Cisco de febrero de 2022. Se recomienda actualizar todos los productos desde la página oficial de Cisco [3].

 

Referencias
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D
[2] https://www.cybersecurity-help.cz/vdb/SB2022020302
[3]https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#fixes?_ga=2.1495349.545460674.1643620637-1811359862.1643620637

Publicado el

Vulnerabilidad crítica de tipo RCE en Samba (CVE-2021-44142)

Introducción

Todas las versiones de Samba anteriores a la 4.13.17 están afectadas por una vulnerabilidad de lectura/escritura de heap fuera de límites que permite a los atacantes ejecutar código arbitrario como root en las instalaciones de Samba afectadas que utilizan el módulo VFS vfs_fruit.

El módulo VFS es parte de la suite samba y proporciona una mayor compatibilidad con los clientes SMB de Apple y la interoperabilidad con un servidor de archivos Netatalk 3 AFP. [1]

 

Análisis

El fallo específico existe en el análisis de los metadatos de atributos extendidos al abrir archivos en smbd. Se requiere acceso con un usuario con permisos de escritura de  atributos extendidos de ficheros para poder explotar esta vulnerabilidad. Tenga en cuenta que podría ser un invitado o un usuario no autenticado si tales usuarios tienen permitido el acceso de escritura a los atributos extendidos de los ficheros.

El problema en vfs_fruit existe cuando se usa la configuración por defecto del módulo VFS de fruit, el cual tiene los siguientes valores predeterminados fruit:metadata=netatalk o fruit:resource=file. Si ambas opciones se configuran con valores diferentes a los predeterminados, el sistema no se ve afectado por el problema de seguridad.

 

Recomendaciones

Samba ha publicado parches e instaladores específicos para de las versiones 4.13.17, 4.14.12 y 4.15.5 que resuelven esta vulnerabilidad. [2] [3]

Si no se puede llevar a cabo esta actualización, como mitigación, elimine el módulo VFS «fruit» de la lista de objetos VFS configurados en cualquier línea «vfs objects» en la configuración de Samba smb.conf.

Tenga en cuenta que al cambiar los valores del módulo VFS fruit:metadata o fruit:resource para utilizar la configuración no afectada, esto hace que toda la información almacenada sea inaccesible a los clientes de macOS. [4]

 

Referencias
[1] https://securityaffairs.co/wordpress/127457/security/cve-2021-44142-samba-rce.html
[2] https://www.samba.org/samba/download/
[3] https://bugzilla.samba.org/show_bug.cgi?id=14914
[4] https://www.samba.org/samba/security/CVE-2021-44142.html