Category: Actualitat

Introducció

S’ha publicat una segona actualització de l’avís de vulnerabilitats del 25/11/2023 ^[1] en el qual s’amplien els models afectats.

Anàlisi

La vulnerabilitat de severitat crítica associada al producte afectat és la següent:

• • CVE-2022-29830: Ús de claus de xifratge codificades (CWE-321)^[2] :
    L’impacte potencial pot incloure que la informació confidencial pot divulgar-se o alterar-se, la qual cosa resulta en l’adquisició no autoritzada d’informació sobre els arxius del projecte.

El software i les seues versions afectades:

• • GX Works3:
    • 1.000A o posteriors, i 1.011M y anteriors.
    • 1.015R o posteriors, i 1.086Q y anteriors.
    • 1.087R o posteriors.
    • 1090U [30/05/2023]
    • 1.095Z, 1.096A i posterior [30/06/2023]
  • Motion Control Settings (Software relacionat amb GX Works3):
    • 1.000A a 1.033K. [30/05/2023]
    • 1.035M a 1.042U. [30/05/2023]
    • 1.045X o posteriors. [30/05/2023]

Recomanacions

GX Works3: Descarregue la versió 1.096A o posterior i actualitze el software ^[3]. Ajust la versió de seguretat a “2”.

Per part de Mitsubishi està planejada pròximament la publicació de les correccions. Fins llavors, s’aconsella aplicar les següents mesures de mitigació:

• • Assegurar-se que els atacants maliciosos no puguen accedir, via xarxes no de confiança, a fitxers de projectes o claus de seguretat que estiguen emmagatzemades en l’ordinador/servidor i els fitxers de configuració que estiguen guardades en l’ordinador personal que executa el software.
  • Instal·lar programari antivirus en el teu ordinador personal que executa el software afectat.
  • Encriptar els fitxers de projecte i claus de seguretat quan s’envien o reben a través d’internet.

Referències

[1] [SCI] Nueva vulnerabilidad crítica detectada en productos Mitsubishi Electric
[2] Multiple Vulnerabilities in Multiple FA Engineering Software
[3] https://www.mitsubishielectric.com/fa/#software

Introducción

Se han detectado campañas de correos maliciosos de tipo phishing que tienen como objetivo infectar los dispositivos con el malware conocido como Grandoreiro. 

Análisis

Los correos electrónicos detectados siguen el siguiente patrón:

En una de las campañas, el usuario recibe un correo electrónico, que parece provenir de una entidad de confianza, como, por ejemplo, una compañía de seguros. En el asunto se habla de un ‘aviso de transferencia’.

En el mensaje, dirigido al usuario que aparece en la dirección del correo electrónico, hace referencia al abono de una factura detallada en un fichero adjunto que se puede descargar en el enlace que se facilita.

Si el usuario descarga el archivo adjunto del enlace malicioso, este le descargará el malware Grandoreiro.

 

En otra campaña detectada, el phishing suplanta la identidad de una línea de supermercados, indicando al cliente que se le adjunta su factura electrónica.

Al pulsa en el enlace malicioso para descargar la supuesta factura, este le descargará el malware Grandoreiro comprimido en un archivo .zip.

 

En otro ejemplo, se suplanta la identidad de una conocida compañía telefónica. En este caso, se indica al titular del correo electrónico que se le ha adjuntado su factura electrónica del mes y para descargarla se debe hacer pulsar en el enlace malicioso.

Si el usuario pulsa en el enlace que, supuestamente, descarga la factura, este le descargará el malware.

Han sido detectadas, más campañas que se dirigen directamente al usuario por diferentes motivos como, por ejemplo, en nombre de una tercera empresa que suele ser proveedora. Todas tienen en común que facilitan un enlace para descargar una factura, comprobante o un documento de cualquier tipo.

En la siguiente evidencia observamos cómo se dirigen al usuario por su nombre y apellidos dando así un trato más personal y creíble.

En general, en todas las campañas detectadas, si el usuario pulsa en el enlace que acompaña al mensaje, este le descargará un malware conocido como Grandoreiro, de tipo troyano, que se caracteriza por extraer información bancaria.

No se descartan otras campañas similares donde varíe el asunto o cuerpo del mensaje.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal [2].

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

[1] Campaña de phishing que descarga malware Grandoreiro

[2] Portal: Informar de un phishing

Introducció

Medtronic ha reportat al CISA ^[1] avís de vulnerabilitat crítica l’explotació de la qual podria resultar en l’execució remota de codi o una condició de denegació de servei, afectant el sistema Paceart Optima.

 

Anàlisi

Aquesta vulnerabilitat afecta la versió 1.11 i anteriors.

CVE-2023-31222: Si s’habilita el servei de missatgeria Paceart, un usuari no autoritzat podria aprofitar aquesta vulnerabilitat per fer una execució remota de codi i/o atacs de denegació de servei (DoS) mitjançant l’enviament de missatges especialment dissenyats al Paceart Optima system. L’execució remota de codi podria provocar l’eliminació, el robatori o la modificació de les dades del dispositiu cardíac del sistema, o ser utilitzat per a una penetració més gran de la xarxa.

 

Recomanacions

Medtronic recomana a tots els usuaris afectats que actualitzin els seus productes a l’últim partxe. Aquesta vulnerabilitat es va corregir a la versió 1.12.

Així mateix, ha proporcionat algunes mitigacions immediates que els usuaris poden aplicar per reduir el risc, com ara deshabilitar manualment el servei de missatgeria del sistema Paceart.

 

Referències

[1] Medtronic Paceart Optima System