Category: Actualitat

Introducció

Andrew Tierney de Pen Test Partners ha reportat les següents vulnerabilitats a CISA, les dos d’elles crítiques. En cas que estes vulnerabilitats foren explotades permetrien a un atacant guanyar accés d’alt nivell al dispositiu per a operar-lo de manera remota, posant-lo en un estat no funcional. ^[1]

Anàlisi

Les vulnerabilitats crítiques trobades són les següents:

• • CVE-2025-41438– Inicialització d’un recurs amb un per defecte no segur. (CWE-1188):

El panell d’incendis CS5000 és vulnerable a causa d’un compte per defecte que existix en el panell. Encara que és possible canviar-la connectant-se per SSH al dispositiu, ha romàs sense canviar en tots els panells instal·lats observats. Este compte no és un compte root, però posseïx permisos d’alt nivell que podrien impactar de manera severa el funcionament del dispositiu.

• • CVE-2025-46352– Ús de credencials incrustades. (CWE-798):

El panell d’incendis CS5000 és vulnerable a causa d’una contrasenya incrustada en un servidor VNC que és visible com una cadena de text en el binari responsable de córrer VNC. Esta contrasenya no pot ser alterada, permetent que qualsevol amb coneixement d’ella puga guanyar accés de manera remota al panell. Tal accés podria permetre a un atacant operar de manera remota el panell, potencialment posant al panell d’incendis en un estat de no funcionament i causant problemes de seguretat severs.

• Estes vulnerabilitats afecten els següents recursos:

• • CS5000 Fire Panel: All versions.

Recomanacions

Actualment Consilium Safety és conscient d’estes vulnerabilitats, però cap solució està planejada per al CS5000 Fire Panell.
Es recomana als usuaris que desitgen millors opcions de seguretat que adquirisquen la nova línia de panells d’incendis de Consilium Safety. Especialment a productes produïts a partir de l’1 de juliol de 2024, que incorporen principis de seguretat com a disseny.

Més informació sobre seguretat del producte pot ser obtinguda en la pàgina de suport de Consilium Safety.

Referències

[1] ICSA-25-148-03 Consilium Safety CS5000 Fire Panel

Un model avançat d’intel·ligència artificial ha descobert una vulnerabilitat crítica de tipus zero-day en el nucli de Linux, identificada com CVE-2025-37899, que afecta la implementació del protocol Server Message Block (SMB) dins del mòdul ksmbd del nucli. Així ho ha publicat el mitjà de comunicació BankInfoSecurity.

La vulnerabilitat consisteix en un error de tipus use-after-free en el tractament de la instrucció ‘logoff’ del protocol SMB, que podria permetre a un atacant remot executar codi arbitrari amb privilegis de nucli. Aquest tipus d’error es produeix quan una àrea de memòria és alliberada però continua accessible, cosa que pot ser explotada per modificar el comportament del sistema o injectar codi maliciós.

El descobriment ha sigut possible gràcies a la investigació de l’expert Sean Heelan, qui va utilitzar el model d’IA de frontera o3, desenvolupat per OpenAI, per analitzar unes 12.000 línies de codi font del mòdul afectat. La intel·ligència artificial va ser capaç de raonar sobre rutes d’execució complexes i detectar l’error sense instruccions específiques, demostrant així el potencial d’aquestes tecnologies per a identificar vulnerabilitats sofisticades.

Aquest descobriment suposa un punt d’inflexió en l’ús de la IA per a la seguretat informàtica, ja que representa una de les primeres ocasions en què un model de llenguatge de frontera contribueix directament a la identificació d’una vulnerabilitat crítica en programari de codi obert.

Tot i que la intel·ligència artificial no substitueix el criteri humà, sí que s’ha revelat com una eina valuosa per a millorar l’eficiència i la precisió en els processos d’auditoria de codi i detecció de fallades. Per això, es recomana als administradors de sistemes Linux aplicar al més prompte possible les actualitzacions de seguretat disponibles per a mitigar qualsevol risc.

L’incident posa en relleu la necessitat creixent d’integrar eines d’intel·ligència artificial en la ciberseguretat, no sols com a ajuda reactiva, sinó també com a recurs proactiu per a anticipar-se a amenaces futures.

Referències

• https://www.bankinfosecurity.com/linux-zero-day-vulnerability-discovered-using-frontier-ai-a-28559
• https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/
• https://thecyberexpress.com/cve-2025-37899-zero-day-in-linux-smb-kernel/

El 28 de maig de 2025, Google i Mozilla van anunciar noves actualitzacions de seguretat per als seus navegadors Chrome i Firefox. Estes actualitzacions, corresponents a Chrome 137 i Firefox 139, corregixen un total de 21 vulnerabilitats, tres d’estes classificades com a alta gravetat. Encara que no s’ha informat que estes fallades estiguen sent explotades activament, es recomana aplicar les actualitzacions de manera immediata.

Anàlisi

Les actualitzacions publicades per Google i Mozilla aborden diverses vulnerabilitats crítiques que podrien permetre a un atacant executar codi arbitrari, causar bloquejos o comprometre la seguretat del sistema si es combinen amb altres fallades.

En Chrome 137, es corregixen 11 fallades de seguretat, de les quals huit van ser reportades per investigadors externs. Dos d’estes són considerades d’alta severitat:

• • CVE-2025-5063: fallada use-after-free en Compositing.
  • CVE-2025-5280: escriptura fora de límits en el motor JavaScript V8.

Estes fallades poden derivar en l’execució de codi arbitrari o una fugida de l’entorn controlat de proves si s’exploten juntament amb altres errors del sistema. A més, es van solucionar cinc fallades de severitat mitjana en components com Background Fetch API, FileSystemAccess API, Messages, BFCache i libvpx, i un de baixa severitat en Tab Strip.

En Firefox 139, es van solucionar 10 vulnerabilitats, incloent-hi un error double-free d’alta severitat a la biblioteca libvpx, que podria generar corrupció de memòria i una fallada explotable. També es van resoldre sis fallades de severitat mitjana relacionades amb atacs de fuita entre orígens (cross-origin), execució de codi local, XS-Leaks i corrupció de memòria.

Mozilla també va publicar actualitzacions per a les versions de suport estés (ESR) i Thunderbird:

• • Firefox ESR 128.11: corregix huit d’estes vulnerabilitats.
  • Firefox ESR 115.24: corregix quatre fallades.
  • Thunderbird 139: inclou pegats per a les deu vulnerabilitats.
  • Thunderbird 128.11: en soluciona huit.

Recursos afectats

• • Google Chrome, versions inferiors a 137.0.7151.55/56 (Windows/macOS) i 137.0.7151.55 (Linux)
  • Mozilla Firefox, versions inferiors a 139
  • Mozilla Thunderbird, versions inferiors a 139

Recomanacions

Actualitzar Chrome a la versió 137.0.7151.55/56.
Actualitzar Firefox a la versió 139 o a les versions ESR corresponents.
Actualitzar Mozilla Thunderbird a l’última versió disponible.

Referències

https://www.securityweek.com/chrome-137-firefox-139-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-136-update-patches-vulnerability-with-exploit-in-the-wild/

https://www.securityweek.com/chrome-136-firefox-138-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/

Una vulnerabilitat recentment descoberta en el protocol Transparent Network Substrate (TNS) d’Oracle permet a atacants sense autenticar accedir a fragments de memòria del sistema. Encara que Oracle ja ha publicat un pegat correctiu, diversos servidors continuen exposats a possibles atacs i això representa un risc de filtració de dades sensibles.

Anàlisi

La vulnerabilitat afecta el protocol TNS quan el listener d’Oracle està configurat per a acceptar connexions TCPS i l’opció LOCAL_US_AUTHENTICATION està desactivada. En esta configuració, una simple petició de versió pot retornar memòria no inicialitzada que conté variables de l’entorn del sistema com USERNAME, USERDOMAIN o la variable Path.

CVE-2025-30733: esta vulnerabilitat representa un risc significatiu, ja que afecta directament el protocol Oracle TNS i permet que una sol·licitud especialment dissenyada provoque una fugida de memòria del sistema. Amb certes configuracions, un atacant sense autenticar pot obtindre dades sensibles com ara noms d’usuari, rutes d’instal·lació o variables d’entorn, cosa que facilita moviments laterals o atacs dirigits dins de la infraestructura afectada.

Perquè l’atac tinga èxit, han de complir-se les condicions següents:

• • Accés de xarxa al listener TNS (port 1521 per defecte)
  • Configuració que permeta connexions remotes no predeterminades
  • Interacció indirecta d’un usuari legítim (segons vector UI:R)

Recursos afectats

Esta vulnerabilitat afecta les següents versions d’Oracle Database:

• • 19c: de la versió 19.3 fins a 19.26
  • 21c: de la versió 21.3 fins a 21.17
  • 23c: de la versió 23.4 fins a 23.7

Recomanacions

Instal·lar l’actualització de pegat crític d’abril de 2025 o versions posteriors disponibles en el lloc oficial d’Oracle.

Referències

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbns04859en_us&docLocale=en_US

https://www.oracle.com/security-alerts/cpuapr2025.html