Categoría: Actualidad

CSIRT-CV publica su resumen anual sobre la actividad, ciberamenazas y tendencias en ciberseguridad más destacadas llevadas a cabo.

El informe se centra en los servicios más importantes, como la gestión de incidentes, campañas de concienciación realizadas para los ciudadanos, los cursos y formación online, las jornadas de ciberseguridad impartidas en los centros de secundaria, análisis de riesgos, etc.

Todas las gestiones realizadas tienen un punto en común; la pandemia por COVID-19.

La información en la que se basa el informe corresponde a todo el año 2020. Pueden consultar dicho informe en el siguiente enlace.

Adobe ha subsanado en su última actualización de seguridad hasta 43 vulnerabilidades, repartidas en 24 críticas, 13 altas y 6 medias (sin incluir dependencias en Adobe Experience Manager), que afectan a 12 aplicaciones diferentes. A destacar sobre todas, la identificada como CVE-2021-28550 cuya explotación exitosa podría conducir a la ejecución de código arbitrario en el contexto del usuario actual.

Análisis

Según indican desde Adobe la vulnerabilidad crítica más relevante indicada en la introducción está siendo explotada activamente en ataques dirigidos a los usuarios de Adobe Reader en Windows. Este fallo permitiría a un atacante la ejecución de código con solo lograr que alguien abra un archivo PDF especialmente diseñado.

Productos afectados

• • Adobe Experience Manager
  • Adobe InDesign
  • Adobe Illustrator
  • Adobe InCopy
  • Adobe Genuine Service
  • Adobe Acrobat y Reader
  • Magento
  • Adobe Creative Cloud Desktop Application
  • Adobe Media Encoder
  • Adobe After Effects
  • Adobe Medium
  • Adobe Animate

Recomendaciones

Adobe recomienda a los usuarios que actualicen sus instalaciones de software a las últimas versiones disponibles.

Referencias

(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-adobe-mayo-2021

Se han descubierto cinco fallos de seguridad agrupados en una única vulnerabilidad, CVE-2021-21551, de alta gravedad cuya explotación permitiría bloquear sistemas, robar información y escalar privilegios para tomar el control en equipos de escritorio, portátiles e incluso tablets de la marca Dell.

Análisis

Los problemas detectados residen en el controlador ‘dbutil’ que la compañía utiliza para actualizar los firmwares (BIOS) de sus equipos. Este controlador acepta ‘llamadas’ a las cuentas de cualquier usuario o programa y no hay controles de seguridad ni una lista de control de acceso para ver si el usuario que accede tiene los suficientes privilegios o si está autorizada. Estas llamadas al sistema, pueden indicar al controlador de nivel de kernel que mueva el contenido de la memoria de una dirección a otra, lo que permite a un atacante leer y escribir RAM arbitraria del kernel e incluso en puertos de entrada y salida en hardware subyacente.

Recomendaciones

Se recomienda revisar la existencia de equipos afectados y seguir las instrucciones que Dell ha publicado en su aviso de seguridad DSA-2021-088 para corregir los fallos en el controlador dbutil. En este mismo enlace se indican exactamente los productos afectados y sin soporte.

Referencias

(1) https://www.bleepingcomputer.com/news/security/vulnerable-dell-driver-puts-hundreds-of-millions-of-systems-at-risk/
(2)https://www.dell.com/support/kbdoc/es-es/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability

Se ha descubierto una vulnerabilidad crítica 0-day en dispositivos VPN Pulse Secure que permitiría a un atacante que la explote con éxito autenticarse remotamente y ejecutar código arbitrario.

ACTUALIZACIÓN 05/05/2021: Ya se encuentra disponible el parche para corregir el problema [2].

Análisis

El grupo de investigadores de ciberamenazas Mandiant (perteneciente a FireEye) ha publicado un boletín informativo en el que detallan cómo han descubierto tras el estudio de incidentes recientes, compromisos de aplicativos de Pulse Secure VPN [1]. Al parecer, una vulnerabilidad en las versiones Pulse Secure Connect (PCS) 9.0R3 y superiores, permitiría eludir la autenticación y ejecutar archivos de forma arbitraria.