Categoría: Actualidad

A día 14 de abril de 2021, vulnerabilidades críticas para varios servicios de Microsoft, incluyendo Exchange On-Premise, han sido corregidas junto con otro gran conjunto de vulnerabilidades importantes. Suman un total de 114 CVEs (Common Vulnerabilities and Exposures) distintos para aplicaciones y servicios tales como Microsoft Windows, Microsoft Edge, Azure, Azure DevOps, Microsoft Office, Sharepoint Server, Hyper-V, Team Foundation Server, Visual Studio, y Exchange Server.

Análisis

Como es habitual, los miércoles a mediados de cada mes, Microsoft publica su post rutinario de actualización mensual. Siendo un total de 114 vulnerabilidades parcheadas [2], Microsoft recomienda priorizar por aquellas que corrigen las vulnerabilidades críticas [1]. De entre estos 114 CVE, 19 han sido clasificados como críticos, 88 como importantes, y uno como moderado. Adicionalmente, seis vulnerabilidades han afectado al navegador Edge (basado en chromium) debido a una reciente actualización de Chromium.

Los CVE clasificados como críticos se muestran en la siguiente tabla:

El Federal Bureau of Investigation (FBI) y la Cybersecurity and Infraestructure Security Agency (CISA) han emitido un aviso de ciberseguridad alertando de escaneos de vulnerabilidades en FortiOS por parte de actores de amenazas persistentes avanzadas. Esto correspondería a una primera fase de reconocimiento para a posteriori, llevar a cabo ataques en los sistemas vulnerables y conseguir acceso a las redes e infraestructuras de las organizaciones objetivo.

Dichas agencias comunican que los escaneos de vulnerabilidades se están llevando a cabo en los puertos 4443, 8443 y 10443 para la vulnerabilidad CVE-2018-13379 y los enumerados en las vulnerabilidades CVE-2020-12812 y CVE-2019-5591.

Recomendaciones

Se recomienda a aquellos organismos que tengan desplegados dispositivos con FortiOS, revisen y apliquen aquellas actualizaciones que remedien las vulnerabilidades mencionadas anteriormente y recopiladas en la siguiente tabla.

Dado el aumento de casos relacionados con el fraude del CEO que se están produciendo en los últimos meses, desde CSIRT-CV lanzamos esta nueva campaña “10 consejos para NO ser víctima de un fraude del CEO” con el objetivo de intentar no caer en esta estafa.

Este tipo de engaño consiste en hacer llegar un correo, remitido supuestamente por un superior de la organización, a un empleado que tenga la posibilidad de realizar transferencias o acceder a datos de cuentas, presionándole para realizar alguna operación financiera e indicándole que es confidencial y urgente.

Con esta campaña se pretende destacar la importancia de concienciar a todos los empleados, tanto de organizaciones públicas como privadas, para no ser víctimas de estos engaños. Los miembros de la organización deberían ser la primera barrera ante estos timos, los cuales cada vez son más difíciles de detectar.

Últimamente, los casos descubiertos estaban perfectamente organizados y los correos eran muy creíbles dado el nivel de detalle que presentaban.

El objetivo principal de esta campaña es evitar que se produzcan pérdidas económicas debidas a este delito y sobre todo, que seamos conscientes de los peligros a los que estamos expuestos en nuestro puesto de trabajo. #FraudeCEO #concienciaT

Visita nuestro portal concienciaT y nuestras redes sociales en Facebook y Twitter para seguir nuestros consejos diarios.

A día 10 de marzo de 2021, varias vulnerabilidades para el software BIG-IP y BIG-IQ de F5 han sido parcheadas [2]. Entre las vulnerabilidades se incluye una de ejecución de código remoto sin autenticación [1].

ANÁLISIS
Se han corregido un total de siete vulnerabilidades siendo cuatro de ellas críticas. Las vulnerabilidades se han corregido en las versiones de BIG-IP 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, y 11.6.5.3. Las vulnerabilidades son las que se listan a continuación:

• • CVE-2021-22986 (CVSS score: 9.8) [3]: la interfaz REST de iControl posee una vulnerabilidad de ejecución de código remoto sin autenticación.
  • CVE-2021-22987 (CVSS score: 9.9 )[4]: durante la ejecución en modo Appliance,la Interfaz de Usuario de Gestión de Tráfico (TMUI), también referida como utilidad de Configuración, contiene una vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
  • CVE-2021-22988 (CVSS score: 8.8)[5]: TMUI, tiene una segunda vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
  • CVE-2021-22989 (CVSS score: 8.0)[6]: durante la ejecución en modo Appliance con el firewall web avanzado (Advanced WAF) o proveedor ASM BIG-IP, la TMUI (utilidad de Configuración) tiene otra vulnerabilidad más de ejecución de código remoto con autenticación en páginas no-publicadas.
  • CVE-2021-22990 (CVSS score: 6.6)[7]: durante la ejecución en modo Appliance con el firewall web avanzado (Advanced WAF) o proveedor ASM BIG-IP, la TMUI (utilidad de Configuración) tiene de nuevo otra vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
  • CVE-2021-22991 (CVSS score: 9.0)[8]: ciertas peticiones a servidores virtuales pueden ser procesadas de manera incorrecta por el Traffic Management Mikrokernel (TMM), que podría causar un desbordamiento de buffer, resultando en un ataque de denegación de servicio. En situaciones específicas también podría permitir el rodeo del control de acceso basado en URL, o ejecución de código remoto.
  • CVE-2021-22992 (CVSS score: 9.0)[9]: una respuesta HTTP maliciosa hacia un WAF avanzado o un servidor BIG-IP ASM con una página de inicio de sesión podría disparar un desbordamiento de buffer, resultando en un ataque de denegación de servicio. En situaciones específicas también podría permitir ejecución de código remoto, resultando en el compromiso total del sistema.

El CVE-2021-22986 de ejecución de código remoto sin autenticación, también afecta a BIG-IQ (solución de administración de dispositivos BIG-IP), y ha sido corregido en las versiones 8.0.0, 7.1.0.3, y 7.0.0.2.

La explotación exitosa de las vulnerabilidades de ejecución de código remoto podrían dar lugar al compromiso total de los sistemas, incluyendo el interceptado de tráfico y movimiento lateral a través de la red.

RECOMENDACIONES
Actualizar los sistemas BIG-IP y BIG-IQ a una versión corregida tan pronto como sea posible [10].

REFERENCIAS

[1] https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/
[2] https://support.f5.com/csp/article/K02566623
[3] https://support.f5.com/csp/article/K03009991
[4] https://support.f5.com/csp/article/K18132488
[5] https://support.f5.com/csp/article/K70031188
[6] https://support.f5.com/csp/article/K56142644
[7] https://support.f5.com/csp/article/K45056101
[8] https://support.f5.com/csp/article/K56715231
[9] https://support.f5.com/csp/article/K52510511
[10] https://support.f5.com/csp/article/K84205182