Publicado el

Vulnerabilidades en Veeam BackUp Manager

Introducción

Veeam ha publicado un aviso de seguridad indicando a sus clientes que parcheen una vulnerabilidad de seguridad crítica. Esta, permite a atacantes no autentificados iniciar sesión, en cualquier cuenta, a través de Veeam Backup Enterprise Manager (VBEM).

Análisis

CVE-2024-29849 (CVSS3.1 9.8) – Esta vulnerabilidad en Veeam Backup Enterprise Manager permite a un atacante no autenticado iniciar sesión en la interfaz web de Veeam Backup Enterprise Manager como cualquier usuario.
 
CVE-2024-29850 (CVSS3.1 8.8) – Esta vulnerabilidad en Veeam Backup Enterprise Manager permite la toma de control de cuentas a través de la retransmisión NTLM.
 

Versiones Afectadas

Veeam Backup & Replication versiones 5.0, 6.1, 6.5, 7.0, 8.0, 9.0, 9.5, 10, 11, 12 y 12.1

Recomendaciones

Actualice a Veeam Backup Enterprise Manager 12.1.2.172.

Referencias

    https://thehackernews.com/2024/05/critical-veeam-backup-enterprise.html

    https://www.veeam.com/kb4581

Publicado el

[SCI] Vulnerabilidades críticas en InfraSuite Device Master de Delta Electronics

Introducción

Un investigador anónimo que trabaja con Trend Micro Zero Day ha encontrado una vulnerabilidad que podría derivar a ejecución remota de código.[1]

Análisis

La vulnerabilidad de severidad crítica afecta a la deserialización de datos no fiables porque el programa ejecuta una versión de Apache ActiveMQ (5.15.2) vulnerable.

Se ha asignado el identificador CVE-2023-46604 para esta vulnerabilidad. También se le ha asignado el CWE-502.

La serie de productos afectados de Delta Electronics es:

    • InfraSuite Device Master: Versions 1.0.10 y anteriores.

Recomendaciones

Delta Electronics asegura que estas vulnerabilidades han sido mitigadas en la versión 1.0.11 y recomienda actualizar a dicha versión o una posterior.

Referencias

[1] ICSA-24-130-03 – Delta Electronics InfraSuite Device Master

Publicado el

[SCI] Vulnerabilidades críticas en DIAEnergie de Delta Electronics

Introducción

Tenable ha publicado 3 vulnerabilidades que podrían derivar en una ejecución remota SQLi a través de uno de sus campos.[1]

Análisis

El ejecutable CEBC.exe escucha por TCP en el puerto 928 y acepta comandos en forma de cadena de caracteres. Las vulnerabilidades de severidad criticas asociadas a DIAEnergie son las siguientes:

    • CVE-2024-4547: Control inadecuado del mensaje «RecalculateScript» («inyección de código») (CWE-20):
      Cuando se procesa el mensaje “RecalculateScript”, existe una vulnerabilidad al separar el mensaje por el carácter ‘~’. Un atacante puede inyectar código en el cuarto campo del mensaje sin la necesidad de autenticarse.
    • CVE-2024-4548:Control inadecuado del mensaje «RecalculateHDMWYC» («inyección de código») (CWE-20):
      Cuando se procesa el mensaje “RecalculateHDMWYC”, existe una vulnerabilidad al separar el mensaje por el carácter ‘~’. Un atacante puede inyectar código en el cuarto campo del mensaje sin la necesidad de autenticarse.
    • CVE-2024-4549:  Denegación de Servicio sin identificación:
      Un atacante puede enviar la cadena de caracteres “ICS Restart!” y de esta forma reiniciar el sistema.

La serie de productos afectados es:

    • Delta Electronics DIAEnergie CEBC.exe, v1.10.1.8610 y anteriores.

Recomendaciones

La solución para los productos afectados es actualizar DIAEnergie a la versión v1.10.01.004 o posterior.

Referencias

[1] Delta Electronics DIAEnergie CEBC.exe Multiple Vulnerabilities

Publicado el

Campaña de distribución de ransomware distrubida por LockBit

INTRODUCCIÓN

A partir del 24 de abril de 2024 y continuando diariamente durante aproximadamente una semana, Proofpoint observó campañas de alto volumen con millones de mensajes facilitados por la botnet Phorpiex y entregando el ransomware LockBit Black. Esta es la primera vez que los investigadores de Proofpoint observan muestras del ransomware LockBit Black (también conocido como LockBit 3.0) siendo entregado a través de Phorpiex en volúmenes tan altos. La muestra de LockBit Black de esta campaña probablemente fue creada a partir del constructor de LockBit que se filtró durante el verano de 2023.

ANÁLISIS

Los mensajes provenían de «Jenny Green» con la dirección de correo electrónico Jenny@gsd[.]com. Los correos electrónicos contenían un archivo ZIP adjunto con un ejecutable (.exe). Se observó que este ejecutable descargaba la carga útil de LockBit Black desde la infraestructura de la botnet Phorpiex.

From: “Jenny Green” jenny@gsd[.]com
Subject: Your Document
Attachment: Document.zip

Los correos electrónicos apuntaban a organizaciones en múltiples verticales en todo el mundo y parecían ser oportunísticos en lugar de estar dirigidos específicamente. Si bien la cadena de ataque para esta campaña no era necesariamente compleja en comparación con lo observado en el panorama del cibercrimen hasta ahora en 2024, la naturaleza de alto volumen de los mensajes y el uso de ransomware como carga útil de primera etapa es notable.

La cadena de ataque requiere interacción del usuario y comienza cuando un usuario final ejecuta el ejecutable comprimido en el archivo ZIP adjunto. El binario .exe iniciará una llamada de red a la infraestructura de la botnet Phorpiex. Si tiene éxito, se descarga y detona la muestra de LockBit Black en el sistema del usuario final, donde exhibe comportamiento de robo de datos y toma el sistema, encriptando archivos y terminando servicios. En una campaña anterior, el ransomware se ejecutaba directamente y no se observaba actividad de red, lo que evitaba detecciones o bloqueos de red.

RECOMENDACIONES

En caso de haber recibido un correo electrónico como los que se describen en este aviso, es recomendable eliminarlo inmediatamente, sin acceder al enlace ni proporcionar ningún dato, y ponerlo en conocimiento del resto de compañeros y del equipo de Sistemas para evitar posibles víctimas.

Si se ha descargado el archivo, se recomienda:

    • No descomprimir el archivo bajo ningún concepto
    • Ponerse en contacto urgentemente con el equipo de CSIRT-CV

REFERENCIAS

https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware