Posted on

[SCI] Avisos de seguretat de Siemens d’abril de 2023

Introducció

Siemens, en el seu comunicat mensual de partxes de seguretat, ha emés un total de 14 nous avisos de seguretat, recopilant un total de 26 vulnerabilitats entre les quals s’inclouen 4 de severitat crítica[1] [2] [3] .

Anàlisi

Les vulnerabilitats de severitat crítica identificades es classifiquen de la següent manera:

CVE-2023-28489: Neutralització incorrecta d’elements especials utilitzats en un comando (‘Command Injection’) (CWE-77)

Els dispositius afectats són vulnerables a la injecció de comandos a través del port 443/tcp del servidor web, si el paràmetre “Operació remota” està habilitat. El paràmetre està desactivat per defecte. La vulnerabilitat podria permetre a un atacant remot no autenticat realitzar l’execució de codi arbitrari en el dispositiu.

CVE-2022-32207: Permisos predeterminats incorrectes (CWE-276)

Quan curl < 7.84.0 guarda dades de cookies, alt-svc i hsts en arxius locals, fa que l’operació siga atòmica finalitzant l’operació amb un canviat de nom d’un nom temporal al nom final de l’arxiu de destí. En aqueixa operació de canviat de nom, podria ampliar accidentalment els permisos per a l’arxiu de destí, deixant l’arxiu actualitzat accessible a més usuaris dels previstos.

CVE-2022-40674:  Ús de memòria després de ser alliberada (CWE-416)
Libexpat anterior a 2.4.9 té un use-after-free en la funció doContent en xmlparse.c.

CVE-2020-35198: Desbordament d’enters o Wraparound (CWE-190)
S’ha descobert un problema en Wind River VxWorks. L’asignador de memòria té un possible desbordament d’enters en calcular la grandària d’un bloc de memòria que ha d’assignar calloc(). Com a resultat, la memòria real assignada és menor que la grandària del búfer especificat pels arguments, la qual cosa provoca la corrupció de la memòria.

Els models afectats són:

CVE-2023-28489:

      • CP-8031 MASTER MODULE (6MF2803-1AA00)
        • Totes les versions < CPCI85 V05
      • CP-8050 MASTER MODULE (6MF2805-0AA00)
        • Totes les versions < CPCI85 V05

CVE-2022-32207y CVE-2022-40674:

      • SCALANCE XCM332 (6GK5332-0GA01-2AC2)
        • Totes les versions < V2.2

CVE-2020-35198:

      • Famílies de switches SCALANCE X-200, X-200IRT i X-300, models concrets detallats en l’avís de Siemens SSA-813746[3].

Recomanacions

Les actualitzacions que corregeixen les vulnerabilitats indicades poden obtindre’s des del panell de descàrrega de Siemens[4].

Per als productes sense actualitzacions disponibles és recomanable aplicar les mesures de mitigació descrites en la secció de ‘Referències’.

Referències

[1] SSA-472454: Command Injection Vulnerability in CPCI85 Firmware of SICAM A8000 Devices
[2] SSA-558014: Third-Party Component Vulnerabilities in SCALANCE XCM332 before V2.2
[3] SSA-813746: BadAlloc Vulnerabilities in SCALANCE X-200, X-200IRT, and X-300 Switch Families
[4] Panel de descarga de Siemens

Posted on

Comença la Campanya de la Renda 2023, comença l’onada d’enginyeria social

Campaña de la renta 2022

L’11 d’abril va començar la Campanya de la Renda 2023, un dels moments preferits pels ciberdelinqüents per a suplantar l’Agència Tributària, a través de les variades tècniques que proporciona l’enginyeria social, a la recerca de noves víctimes.

Els atacants se serveixen de la pesca per correu electrònic (phishing), la pesca per missatges (smishing), la pesca per veu (vishing), el qrishing (pesca oculta en codis QR) i altres tècniques més, per a incloure enllaços maliciosos amb la finalitat de robar informació personal de les víctimes com ara credencials d’inici de sessió, dades bancàries o contrasenyes.

Amb aqueixes dades personals poden usurpar la identitat a la víctima i realitzar, per exemple, compres amb els diners de les seues víctimes, sol·licitar prestacions per desocupació falses o presentar sol·licituds de préstec a nom d’una altra persona, entre d’altres.

L’enginyeria social és l’art de l’engany. Utilitza tècniques de manipulació de la naturalesa humana perquè realitzes alguna acció i el ciberdelinqüent aconseguisca el seu objectiu.

Normalment, aquest tipus d’atacs apel·len els sentiments i les emocions de les persones, i els 4 principis bàsics del nostre comportament:

  • La nostra tendència és la confiança cap a l’altre.
  • A tots ens agrada que ens lloen.
  • No ens agrada dir NO.
  • Tots volem ajudar.

Per a evitar ciberestafes d’enginyeria social relacionades amb la declaració de la renda, es recomana seguir els consells següents:

  • Verifica sempre el remitent dels correus electrònics, els atacants utilitzen adreces falses i solen camuflar-les. Davant el dubte, no faces clic en cap enllaç, no òbrigues arxius adjunts, no descarregues cap programari i no respongues el missatge, reporta’l a través del correu “csirtcv@gva.es” o elimina’l.
  • Desconfia dels correus amb arxius adjunts sospitosos, especialment si contenen suposades factures no sol·licitades o impagades. Telefona sempre al remitent (consulta les dades de contacte oficials, no els del correu) per a comprovar la seua autenticitat. Davant el dubte, no descarregues ni òbrigues cap adjunt.
  • Popularitat inesperada? No agregues en les teues xarxes socials contactes que no conegues de res, poden estar recopilant la teua informació per a suplantar la teua identitat o altres propòsits il·lícits.
  • Protegeix les teues dades, no reveles informació personal ni professional com ara dades bancàries, contrasenyes o números de targetes de crèdit, a través de correus electrònics, missatges de text, formularis d’Internet, sortejos, trucades o converses en públic. Mai saps qui està a l’altre costat.
  • Utilitza la verificació en dos passos, així, encara que aconseguisquen la teua contrasenya no podran accedir al teu compte, ja que es requereix una segona acció de verificació.
  • Evita fer clic en enllaços que et porten a l’inici de sessió d’una web, podria ser un clon de l’autèntica, dissenyada per a robar les teues contrasenyes.
  • Els atacants poden crear xarxes WIFI fraudulentes amb el mateix nom que les originals i accedir a les teues dades de navegació. Evita les xarxes sense contrasenya!
  • Sigues original amb les preguntes de seguretat de recuperació de contrasenyes: només tu has de saber la resposta. Preguntes i respostes, com més creatives millor.
  • Descàrrega el teu programari i aplicacions de fonts oficials, evita les descàrregues pirata o a través d’enllaços no comprovats. Desactiva les descàrregues automàtiques en els teus dispositius.
  • Utilitza programari de seguretat en el teu ordinador o dispositiu mòbil, com ara antivirus, tallafocs i programari de protecció contra pesca.
  • Si compres per Internet, fes-ho en botigues oficials. Utilitzar PayPal per a pagar ofereix més seguretat al comprador. Compte amb els descomptes i regals! Si sembla massa bo per a ser cert, probablement és una trampa.
  • Sigues una persona cautelosa amb els missatges de text i de veu sospitosos. No respongues els missatges de text o telefonades sospitoses que sol·liciten informació personal o financera. Recorda que l’Agència Tributària mai sol·licita informació personal o financera a través de missatges de text o de veu.

 

ConcienciaT més:

 

Posted on

[SCI] Múltiples vulnerabilitats en productes de Schneider Electric

Introducció

Schneider Electric ha publicat 6 avisos de seguretat que recullen 12 vulnerabilitats, 2 d’elles de severitat crítica[1] .

Anàlisi

Les vulnerabilitats crítiques es descriuen a continuació:

CVE-2023-29411: Falta d’autenticació per a funció crítica (CWE-306)
Una vulnerabilitat de falta d’autenticació per a funcions crítiques podria permetre canvis en les credencials administratives, la qual cosa portaria a una possible execució remota de codi sense requerir autenticació prèvia en la interfície Java RMI.

Schneider Electric reconeix als següents investigadors per identificar i ajudar a coordinar una resposta a aquesta vulnerabilitat: CVE-2023-29411.

    • Esjay (@esj4y) en col·laboració amb Trend Micro Zero Day Initiative
    • Nicholas Miles en col·laboració amb Tenable

CVE-2023-29412: Tractament inadequat de la sensibilitat a majúscules i minúscules (CWE-78)
Una vulnerabilitat de manipulació inadequada de majúscules i minúscules podria causar una execució remota de codi en manipular mètodes interns a través de la interfície RMI de Java.

Els models afectats són:

    • APC Easy UPS Online Monitoring Software, versió 2.5-GA-01-22320 i anteriors (Windows 10, 11 Windows Server 2016, 2019, 2022).
    • Schneider Electric Easy UPS Online Monitoring Software, versió 2.5-GS-01-22320 i anteriors (Windows 10, 11 Windows Server 2016, 2019, 2022).

Recomanacions

Consultar els apartats de Mitigations/Remediation de cada avís del fabricador[2], per a aplicar les actualitzacions i/o mesures de mitigació disponibles per a solucionar les vulnerabilitats identificades.

Referències

[1] Security notifications | Schneider Electric
[2] Easy UPS Online Monitoring Software

Posted on

[SCI] Credencials per defecte en ABB RCCMD

Introducció

Pablo Valle Alvear, investigador de Titanium Industrial Security, ha reportat una vulnerabilitat crítica en productes RCCMD (Remote Control Command) d’ABB. Un atacant podria provocar l’accés legítim a un node del sistema afectat, la detenció del mateix de forma remota, prendre el control i inserir i executar codi arbitrari al node.[1] .

 

Anàlisi

Hi ha una vulnerabilitat en el control d’accés que un atacant podria aprofitar per accedir al sistema amb credencials d’inici de sessió predeterminades, otorgant-li el control del producte per inserir i executar codi arbitrari.

CVE-2022-4126: Un atacant que explotés amb èxit aquesta vulnerabilitat podria agafar el control de la màquina.

La vulnerabilitat afecta les versions anteriors a 4.40 230207 de RCCMD.

 

Recomanacions

La vulnerabilitat es corregeix instal·lant versions posteriors a la 4.40 230207

 

Referències

[1] ABB RCCMD – Use of default password