Publicado el

[SCI] Múltiples vulnerabilidades en productos de Endress+Hauser

Introducción

VDE@CERT ha coordinado la publicación de un aviso de seguridad para una vulnerabilidad crítica de Endress+Hauser. De explotarse, esta vulnerabilidad podría permitir la ejecución de comandos en el contexto de otros usuarios.

La vulnerabilidad fue detectada por Julian Renz, de Endress+Hauser.[1]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

      • CVE-2024-6596 – Control incorrecto de generación de código (Inyección de código) (CWE-94):
        Echo Curve Viewer es una utilidad utilizada para la visualización offline de datos de curvas envolventes previamente registrados. Al cargar los archivos .cs que utiliza para la representación de estas curvas, contienen c#; sin embargo, cuando se ingesta, estos no son autenticados ni validados, por lo que el código c# de ellos se ejecuta inmediatamente. Un atacante remoto sin autenticación puede ejecutar código c# incluido en estos archivos y ejecutar comandos en el contexto del usuario.
  • La serie de productos afectados es:
      • Echo Curve Viewer, versiones 5.2.2.6 o anteriores.
      • FieldCare SFE500 Package:
        • USB, versiones V1.40.00.7448 o anteriores;
        • Web-Package, versiones V1.40.00.7448 o anteriores.
      • Field Xpert SMT50, versiones SMT50_Win10_LTSC_21H2_v1.07.00_RC02_03 o anteriores.
      • Field Xpert SMT70, versiones SMT70_Win10_LTSC_21H2_v1.07.00_RC02_01 o anteriores.
      • Field Xpert SMT77, versiones SMT77_Win10_SAC_22H2_v1.08.04_RC03_02 o anteriores.
      • Field Xpert SMT79, versiones V1.08.02-1.8.8684.34292 o anteriores.

Recomendaciones

      • Echo Curve Viewer: actualizar a la versión 6.00.00.
      • FieldCare SFE500 Package: actualizar a la versión 1.40.1.
      • Para los dispositivos Field Xpert Devices, la actualización se instala automáticamente al iniciar el dispositivo, siempre que este tenga conexión a Internet

Referencias

Publicado el

ESET soluciona vulnerabilidades de escalada de privilegios en productos para Windows y macOS

ESET ha corregido múltiples vulnerabilidades de escalada de privilegios en sus productos para sistemas operativos Windows y macOS, según informó el portal Security Week. Estas vulnerabilidades, si se explotaban, podían permitir que un atacante con acceso local elevara sus privilegios en el sistema afectado, otorgándole control total.

Las fallas se relacionaban con la eliminación de archivos detectados como maliciosos, proceso en el cual se originaba una escalada de privilegios, permitiendo que usuarios no autorizados pudieran realizar acciones que normalmente requerirían mayores permisos. La empresa de ciberseguridad lanzó parches para corregir las vulnerabilidades en las versiones más recientes de sus productos de seguridad.

De acuerdo con Security Affairs, las vulnerabilidades fueron reportadas por investigadores de seguridad, quienes alertaron a ESET del riesgo que implicaban estos fallos. Estos problemas afectaban tanto a usuarios de macOS como de Windows, y la empresa ha instado a sus clientes a actualizar a la última versión para protegerse de posibles ataques que exploten dichas vulnerabilidades.

En particular, en su página de soporte oficial, ESET señaló que la vulnerabilidad se encontraba en el proceso de eliminación de archivos detectados como maliciosos y que el fallo ya ha sido corregido en las versiones 16.1.7.0 de los productos para Windows y 7.3.8 de los productos para macOS ESET Support. La empresa no ha reportado que estas vulnerabilidades hayan sido explotadas en ataques conocidos hasta el momento.

La recomendación de los expertos es que todos los usuarios de ESET verifiquen la versión de su software y apliquen las actualizaciones necesarias para evitar quedar expuestos a esta vulnerabilidad que podría comprometer seriamente la seguridad de los dispositivos.

Esta actualización refuerza el compromiso de ESET con la seguridad de sus usuarios y destaca la importancia de mantener los sistemas y productos actualizados para mitigar riesgos en el entorno digital actual.

Referencias:

Publicado el

Campaña de phishing que suplanta a entidades públicas utilizando datos de la Plataforma de Contratación del Sector Público

Se ha detectado una campaña de correos electrónicos fraudulentos, de tipo phishing, que intentan suplantar a entidades con ofertas de contratación publicadas en la Plataforma de Contratación del Sector Público. En los correos se incluye información que previamente ha sido publicada en dicho portal y solicitan información de facturación para posteriormente proseguir con el ingreso del importe de la factura.

Si se ha recibido un correo electrónico con las características descritas, pero no se ha dado respuesta, es importante notificar a los responsables de la empresa o al equipo encargado de la seguridad de la información de la entidad para que tomen medidas de concienciación en ciberseguridad con el resto de empleados, y así mantenerse alerta. También es importante que se informe a la empresa suplantada de lo que está sucediendo. Una vez hecho esto, eliminar el correo y marcarlo como no deseado.

En caso de haber dado respuesta al correo con la información que se solicita, es de vital importancia informar al equipo de IT aportando toda la información sobre lo sucedido y al resto de empleados para evitar posibles víctimas al igual que a la empresa suplantada.

Se deberán recopilar las evidencias (por ejemplo, con capturas de pantalla) y contactar con las Fuerzas y Cuerpos de Seguridad del Estado para presentar la correspondiente denuncia. Además, se puede reportar el incidente aquí.

En caso de haber llegado a efectuar el pago de alguna cuantía económica, se deberá contactar con la entidad emisora, a través del departamento correspondiente dentro de la empresa, para que puedan bloquear cualquier transferencia.

Los correos electrónicos detectados simulan provenir de una entidad pública donde se observa una dirección de correo electrónico que no se corresponde con el dominio corporativo, lo que hace sospechar de la veracidad del mismo.

En el cuerpo del correo, se solicita la remisión de facturas, y para dar más credibilidad, utilizan información extraída de la Plataforma de Contratación del Estado, como el número de expediente o el nombre del contrato adjudicado.

De esta forma, los ciberdelincuentes pretenden engañar a las empresas y conseguir que envíen información sensible o, incluso, que redirijan los pagos a cuentas bancarias distintas de las habituales.

En otra tipología de correo electrónico, también fraudulento, se intenta suplantar a la entidad, esta vez, sin hacer referencia a información publicada en la plataforma de contratación.

Ambos ejemplos terminan con la firma de un supuesto trabajador del organismo suplantado, así como la dirección física real de la entidad.

 

Recomendaciones

En caso de haber recibido un correo electrónico como el que se describe en este aviso, se recomienda eliminarlo directamente y ponerlo en conocimiento del equipo de IT para que puedan realizar las gestiones de bloqueo pertinentes y del resto de empleados para evitar posibles víctimas.

Si se ha respondido facilitando datos:

    • Mantente alerta ante posibles contactos posteriores. Al haber facilitado los datos es posible que los ciberdelincuentes pretendan obtener otra información.
    • Analiza el equipo utilizando un antivirus actualizado.
    • Realiza el egosurfing para asegurarte de que tus datos no están siendo utilizados con fines no deseados.

Recuerda que, ante cualquier sospecha, es preferible no acceder a ningún enlace sospechoso ni descargar archivos de fuentes no fiables. El phishing es uno de los ciberataques que más afectan a las empresas y puede presentarse en diferentes formas.

Referencias

Publicado el

Convenio Marco sobre Inteligencia Artificial del Consejo de Europa

La primera normativa global sobre IA en el mundo

La Comisión Europea ha publicado una noticia sobre la firma del Convenio Marco del Consejo de Europa sobre Inteligencia Artificial (IA) en nombre de la Unión Europea.

¿En qué consiste el Convenio?

Este Convenio constituye el primer Reglamento sobre IA a escala mundial. Establece una serie de principios y medidas para regular el desarrollo y uso de la IA con un enfoque en su utilización ética y en el respeto de los derechos humanos, la Democracia y el Estado de Derecho, promoviendo la innovación y la confianza.

Además, el Convenio adopta un enfoque diferenciado y basado en el riesgo, aplicando sus principios y obligaciones a las actividades de actores privados y públicos a lo largo del ciclo de vida de la IA. Sin embargo, excluye de su alcance las actividades de sistemas de IA relacionadas con la protección de intereses de seguridad nacional, asuntos de defensa nacional, y actividades de investigación y desarrollo.

La firma de este Convenio será durante el mes de septiembre, permitiendo que cualquier país del mundo se una y se comprometa a cumplir con sus disposiciones.

¿Cuál es la relación entre el Convenio Marco y el Reglamento Europeo de Inteligencia Artificial (RIA)?

En primer lugar, ambas normas tienen como objetivo proporcionar un marco eficaz a nivel internacional para abordar los riesgos que plantea la IA en relación con los derechos humanos, la Democracia y el Estado de Derecho. Sin embargo, mientras que el RIA se aplica exclusivamente a nivel de la Unión Europea, el Convenio Marco tiene una dimensión global y está abierto a la firma de cualquier país del mundo.

El RIA está diseñado para establecer un marco normativo común en los Estados Miembros de la Unión Europea, regulando el desarrollo y uso de la inteligencia artificial dentro del territorio de la UE. Además, establece un marco normativo basado en la clasificación de los sistemas de IA, según su nivel de riesgo para las personas y la sociedad. Este marco regulatorio distingue cuatro categorías:

    • Riesgo inaceptable: Sistemas prohibidos o estrictamente restringidos por contradecir los valores y principios fundamentales de la UE, como la dignidad humana, la Democracia o el Estado de Derecho.
    • Riesgo alto: Sistemas de IA que deben estar sujetos a obligaciones o requisitos estrictos antes de su utilización o comercialización, ya que tienen un impacto significativo en los derechos fundamentales y la seguridad de las personas.
    • Riesgo limitado: Sistemas sujetos a requisitos de transparencia, dado que pueden influir en los derechos o la voluntad de los usuarios, aunque en menor medida que los sistemas de alto riesgo.
    • Riesgo mínimo o nulo: Sistemas de IA que no tienen un impacto directo en los derechos fundamentales o la seguridad de las personas y no están sujetos a ninguna obligación.

El Convenio es coherente con lo estipulado en el RIA e incluye conceptos clave como:

    • Su enfoque basado en el riesgo.
    • Principios clave (transparencia, solidez, seguridad, gobernanza, protección de datos, etc.).
    • Refuerzo de la documentación, la rendición de cuentas y las vías de recurso.
    • Mecanismos de supervisión de las actividades de IA.
    • Apoyo a la innovación segura a través de espacios controlados de pruebas.

El Convenio se aplicará en la UE a través del RIA.

Referencias