Publicado el

Alerta de vulnerabilidad crítica: redes de operaciones de VMware Aria en riesgo de ataques remotos

VMware ha lanzado actualizaciones de software para corregir dos vulnerabilidades de seguridad en Aria Operations for Networks que podrían explotarse para evitar la autenticación y obtener la ejecución remota de código.

Análisis

La vulnerabilidad más grave es CVE-2023-34039 (puntuación CVSS: 9,8), que se relaciona con un caso de omisión de autenticación que surge como resultado de la falta de generación de clave criptográfica única. Un actor malicioso con acceso a la red de Aria Operations for Networks podría eludir la autenticación SSH para obtener acceso a la CLI de Aria Operations for Networks.

La segunda vulnerabilidad, CVE-2023-20890 (puntuación CVSS: 7,2), es una vulnerabilidad de escritura de archivos arbitraria que afecta a Aria Operations for Networks y que podría ser abusada por un atacante con acceso administrativo para escribir archivos en ubicaciones arbitrarias y lograr la ejecución remota de código.

Recursos afectados

    • Versiones 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 y 6.10 de VMware Aria Operations Networks

Recomendaciones

    • Actualizar la plataforma a la versión 6.11.0 que viene con correcciones para los dos defectos.

Referencias

 
Publicado el

Campaña de correos electrónicos maliciosos que pretenden infectar equipos con ransomware

Se ha detectado una nueva campaña de correos electrónicos fraudulentos que tratan de infectar los equipos de las empresas con un ransomware. La campaña detectada va dirigida a empresas de arquitectura, aunque no se descarta que su radio de acción se amplíe a otros sectores. Los ciberdelincuentes suplantan la identidad de una conocida empresa fotográfica solicitando un presupuesto con el que ganarse la confianza del destinatario y poder, finalmente, enviarle unos archivos infectados.
 
Análisis

Varios trabajadores han recibido un correo fraudulento en el que se les solicita presupuesto para realizar una obra. Este correo, aparentemente legítimo, suplanta la identidad de una conocida empresa de fotografía y, en su nombre, solicita el presupuesto. Este primer correo aparenta ser real, ya que emplea una comunicación correcta y ajustada al destinatario. Esta técnica se conoce como ataque dirigido.

Correo fraude de contactoCon este primer correo, logran ganarse la confianza del receptor, quien desconocedor del fraude, responde al mensaje indicando sus servicios. 
En el segundo correo, el ciberdelincuente concreta la fecha y hora de una hipotética cita. Además, le envía un tercer correo con un archivo adjunto en el que se encuentran los detalles del proyecto que ha encargado y en el cuerpo del correo se indica la contraseña de dicho archivo adjunto.

Correo fraude interactuación con la víctima

 

Como se puede apreciar en la contestación de los ciberdelincuentes, detrás del engaño existen personas, ya que no se trata de correos automatizados. De esta forma es mucho más fácil que logren su objetivo para ganarse la confianza del receptor, ya que es difícil desconfiar de una redacción tan correcta y personalizada. Por tanto, si el destinatario descarga y ejecuta los documentos que ha recibido en el correo por parte del supuesto cliente, su dispositivo quedará infectado por ransomware, mostrando el siguiente mensaje:

Correo ransomware

Recomendaciones

Si se recibe un correo electrónico como el que se describe en el aviso, se recomienda eliminarlo inmediatamente y ponerlo en conocimiento del resto de empleados, así como de las autoridades, para evitar posibles víctimas.  
En caso de haber respondido al correo, haber recibido los archivos infectados y haberlos ejecutado, se recomienda desconectar el equipo de la red lo más pronto posible y cortar todo tipo de comunicación con el ciberdelincuente. 
Se recomienda apagar el equipo cuanto antes con el objetivo de detener la propagación del cifrado de archivos que el malware está realizando. Tras ello, lo idóneo será contactar con un técnico que ofrezca asistencia para poder desencriptar los archivos.
 
Referencias
 
Publicado el

Actualizaciones de seguridad en Endpoint Manager Mobile (MobileIron)

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad por parte de Ivanti, sobre una vulnerabilidad de omisión de autenticación explotada activamente catalogada bajo el CVE-2023-35078

Este fallo afecta al software de gestión de dispositivos móviles Endpoint Manager Mobile, anteriormente conocido como MobileIron, una plataforma EMM (Enterprise Mobile Management) basada en la nube que las empresas utilizan para proteger y administrar documentos, aplicaciones y contenido corporativo en teléfonos móviles y tablets. Según la información disponible, la vulnerabilidad es de fácil explotación.

ANÁLISIS

La base de datos del NIST ha registrado la vulnerabilidad descrita, pero por el momento no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad reportada como crítica. Desde la compañía se ha admitido públicamente que esta vulnerabilidad ha sido explotada activamente, reconociendo en este artículo que se han detectado ataques contra un número limitado de clientes. Asimismo, por el momento, no se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado ni exploits que aprovechen la vulnerabilidad reportada.

RECURSOS AFECTADOS

La vulnerabilidad reportada afecta a las siguientes versiones:

    • Endpoint Manager Mobile: versiones 11.8 y anteriores
    • Endpoint Manager Mobile: versiones 11.9 y anteriores
    • Endpoint Manager Mobile: versiones 11.10 y anteriores

 

RECOMENDACIONES

Se recomienda encarecidamente que todos los administradores de red apliquen los parches de Ivanti Endpoint Manager Mobile (MobileIron) lo antes posible.

    • Endpoint Manager Mobile versión 11.8: Actualizar a la versión 11.8.1.1.
    • Endpoint Manager Mobile versión 11.9: Actualizar a la versión 11.9.1.1.
    • Endpoint Manager Mobile versión 11.10: Actualizar a la versión 11.10.0.2.

REFERENCIAS

 
Publicado el

Actualizaciones de seguridad para productos Apple

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad en Apple en el que se destaca una vulnerabilidad, identificada bajo el CVE-2023-38606, y que afecta a sus productos con sistemas operativos iOS, iPadOS y macOS. Cabe señalar que dicha vulnerabilidad, la cual ha sido reportada por un investigador anónimo, permite ejecutar código arbitrario en el sistema de destino. 

Analisis

La base de datos del NIST no ha registrado la vulnerabilidad descrita, por lo que aún no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad identificada como crítica.                     

Apple ha informado de que tiene conocimiento de que la vulnerabilidad ha podido ser explotada de manera activa, pero no se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados ni exploits que aprovechen el fallo reportado. 

Recursos afectados 

La vulnerabilidad reportada afecta a las siguientes versiones:

macOS: versiones anteriores a 13.4.1 (a)

iOS: versiones anteriores a 16.5.1 (a)

iPadOS: versiones anteriores a 16.5.1 (a) 

RECOMENDACIONES 

Se recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. 

Los errores han sido corregidos por Apple en las versiones iOS 16.6, iPadOS 16.6 y macOS 13.5.

 

Las actualizaciones pueden encontrarse en el siguiente enlace:

Actualizaciones de seguridad

Además de lo anterior, el fabricante proporciona las instrucciones siguientes para facilitar la correcta aplicación de las mismas:

Actualizar el software de iPhone o iPad

Actualizar macOS en Mac

 
Referencias