Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
Última actualización: Miércoles 14 de junio de 2023
Alerta de Seguridad: Vulnerabilidad en Fortinet CWE-122
¿Qué vulnerabilidad se descubrió?
Recientemente se descubrió una vulnerabilidad identificada como CVE-2023-27997. La misma se basa en un desbordamiento de búfer basado en memoria dinámica [CWE-122] en FortiOS SSL-VPN cuya explotación podría permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente.
Fortinet informó la vulnerabilidad, el fabricante tiene constancia de que ha sido explotada activamente. Recomienda validar inmediatamente los sistemas potencialmente afectados frente a los IOCs aportados.
Última actualización: Miércoles 14 de diciembre del 2022
Alerta de Seguridad Crítica: Desbordamiento de productos Fortinet
¿Qué vulnerabilidad se descubrió?
Recientemente se descubrió una vulnerabilidad identificada como CVE-2022-42475. La misma se trata de un desbordamiento de búfer basado en memoria dinámica [CWE-122] en FortiOS SSL-VPN cuya explotación podría permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente.
Fortinet informó la vulnerabilidad como FG-IR-22-398 y el fabricante tiene constancia de que ha sido explotada activamente. Recomienda validar inmediatamente los sistemas potencialmente afectados frente a los IOCs aportados.
Última actualización: Jueves 17 de diciembre del 2021
Alerta de Seguridad Crítica: Apache Log4j Vulnerability
Ha sido detectada una vulnerabilidad critica (Apache Log4j Vulnerability) que afecta a la librería de registro Apache Log4j basada en Java.
EXPLICACIÓN
Esta vulnerabilidad afecta a la librería de registro Java Apache log4j, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registros y cuyo fin es dejar una constancia de una determinada transacción en tiempo de ejecución.Log4j también permite filtrar los mensajes en función de su importancia.
El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.
El mecanismo de Apache Log4j utiliza las funciones JNDI de la configuración. Los mensajes de registro y los parámetros no protegen contra el protocolo LDAP controlado por atacantes y endpoints relacionados con JNDI.
Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.
CAUSAS:
Deserialización de datos que no son de confianza.
Validación de entrada incorrecta.
Consumo no controlado de recursos.
MITIGACIÓN Y RECOMENDACIONES:
NextVision recomienda:
1.Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar en True.
3. Revisar si se ha tenido un aumento de conexiones DNS: Los intentos se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS puede ser indicativo de explotación exitosa.
4. Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j.
7.En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi” se pueden apoyar en losestos scripts.
8. Revisar si se está usando log4j.
Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
No instalar parches no oficiales
Apache recomienda:
1. Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS.
2. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS.
3. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket.
4. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.
RECOMENDACIONES DE NUESTROS PARTNERS
A continuación, te compartimos las acciones de mitigación que deben implementar en tu organización en caso de contar con servicios de los siguientes vendors:
Fortinet
Sophos
Kaspersky
Forcepoint
F-Secure
SecurityScorecard
Symantec
Fortinet ha creado una alerta para este incidente que permite realizar un seguimiento y aplicar protecciones contra el problema utilizando Fortinet Security Fabric.
Protección de firma IPS (FortiOS)
Fortinet ha lanzado la firma IPS Apache.Log4j.Error.Log.Remote.Code.Execution, con VID 51006 para abordar esta amenaza. Esta firma se lanzó inicialmente en el paquete IPS (versión 19.215). Hay que tener en cuenta que, dado que se trata de una versión de emergencia, la acción predeterminada para esta firma está configurada para aprobar y hay que modificar las acciones según las necesidades.
Cortafuegos de aplicaciones web (FortiWeb y FortiWeb Cloud)
Las firmas de aplicaciones web para prevenir esta vulnerabilidad se agregaron en la base de datos 0.00301 y se actualizaron en la última versión 0.00305 para una cobertura adicional.
Productos de Fortinet afectados
Para los productos afectados por Fortinet, consulte aquí para obtener más detalles. Este Aviso se actualizará a medida que se implementen las mitigaciones y se publiquen versiones modificadas.
SophosLabs
Han implementado una serie de reglas IPS para escanear en busca de tráfico que intente aprovechar la vulnerabilidad Log4J.
Dicha vulnerabilidad requiere una defensa en profundidad. Las organizaciones deben implementar reglas para bloquear el tráfico de explotación de todos los servicios conectados a Internet (Sophos IPS actualmente bloquea el tráfico que coincide con las firmas de explotación conocidas de Log4J). Pero la protección a largo plazo requerirá identificar y actualizar instancias de Log4J o mitigar el problema cambiando la configuración en Log4J.
Kaspersky
Kaspersky tiene conocimiento de las PoC en el dominio público y de la posible explotación de CVE-2021-44228 por parte de los ciberdelincuentes. Nuestros productos protegen contra ataques que aprovechan la vulnerabilidad, incluido el uso de PoC. Los posibles nombres de detección son:
UMIDS: Intrusion.Generic.CVE-2021-44228.
PDM: Exploit.Win32.Generic
Veredictos de KATA :
Exploit.CVE-2021-44228.TCP.C & C
Exploit.CVE-2021-44228.HTTP.C & C
Exploit.CVE-2021-44228.UDP.C & C
Mitigaciones para CVE-2021-44228
Instale la versión más reciente de la biblioteca, 2.15.0. si es posible. Puedes descargarlo en la página del proyecto . Si usa la biblioteca en un producto de terceros, debe monitorear e instalar actualizaciones oportunas del proveedor de software.
Siga las pautas del proyecto Apache Log4j .
Utilice una solución de seguridad con componentes de gestión de parches, vulnerabilidad y prevención de exploits, como Kaspersky Endpoint Security for Business. Nuestro componente de prevención automática de exploits supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.
Utilice soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response , que identifican y detienen los ataques en las primeras etapas.
Productos de Kaspersky afectados
Los productos de Kaspersky no se ven afectados por la vulnerabilidad CVE-2021-44228.
Se ha identificado una vulnerabilidad crítica que permite a un atacante remoto no autenticado ejecutar código arbitrario que compromete el servicio de administración. El componente vulnerable se ha identificado como Java log4j. A esta vulnerabilidad se le ha asignado la identificación CVE-2021-44228.
Forcepoint Security Manager (Web, correo electrónico y DLP)
Forcepoint Security Manager se considera vulnerable debido a la versión de log4j que se está utilizando; sin embargo, Forcepoint no ha podido replicar las vulnerabilidades conocidas de la vulnerabilidad. Sin embargo, es muy recomendable aplicar los pasos de mitigación.
El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:
Recomiendan implementar esta mitigación lo antes posible. Forcepoint también está trabajando para lanzar nuevas versiones con las bibliotecas log4j actualizadas incluidas.
El proveedor, proporcionará a los clientes un script que realizaría esta mitigación manual de manera automatizada. El script se publicará como una revisión a través del sitio web de soporte. El desarrollo de la secuencia de comandos ya está en progreso y proporcionaremos actualizaciones a medida que continuamos con nuestras pruebas.
F-Secure
Han identificado que esta vulnerabilidad también afecta a los siguientes productos:
F-Secure Policy Manager
F-Secure Policy Manager for Linux
F-Secure Policy Manager Proxy
F-Secure Policy Manager Proxy for Linux
F-Secure Endpoint Proxy
Todas las versiones de estos productos están afectados.
El procedimiento para solventar esta vulnerabilidad es el siguiente:
2.Comprobar el hash SHA256 del archivo, si es posible, para verificar su integridad. Debería ser 64f7e4e1c6617447a24b0fe44ec7b4776883960cc42cc86be68c613d23ccd5e0.
3. Detener el servicio Policy Manager Server.
4.Copiar el archivo descargado en:
• Administrador de políticas de Windows: C:\Program Files (x86)\F-Secure\Management Server 5\lib\
• Windows Endpoint Proxy: C:\Program Files\F-Secure\ElementsConnector\lib
• Linux (todos los productos): /opt/f-secure/fspms/lib
• Iniciar el servicio Policy Manager Server.
Tras el reinicio del servicio, el parche se aplicará automáticamente.
Security Scorecard
A medida que se desarrolla la situación, SecurityScorecard se compromete a ayudarlo a evaluar el impacto potencial en su organización y sus terceros. Siga los siguientes cinco pasos de inmediato:
1. Compruebe si su organización se ve afectada.
Es probable que cualquier activo se vea afectado si ejecuta una versión de Log4j posterior a la 2.0 y anterior a la 2.15.0, la versión fija. Revise los resultados del análisis de vulnerabilidades más recientes, que probablemente contengan la ubicación de cualquier instalación de Log4j activa en el entorno. También puede consultar los registros de aplicaciones en la nube en busca de cadenas que coincidan con la sintaxis jndi.ldap . Esto identificará cualquier instancia de escaneo o intentos de explotación activos.
Nota: Un sistema solo está potencialmente comprometido si la solicitud fue procesada por una versión vulnerable de Log4j. De lo contrario, la actividad no debe considerarse sospechosa.
2. Actualice a Log4j versión 2.15.0 inmediatamente.
Encuentre la última versión en la página de descarga de Log4j . La versión 2.15.0 requiere Java 8 o posterior, así que asegúrese de que Java esté ejecutando esta versión.
Importante: Verifique que no haya varias instalaciones de Log4j en una máquina afectada, ya que esto puede significar que existen varios archivos de configuración. Cada uno de estos puede contener una versión vulnerable de Log4j. Deberá corregir cada uno de ellos de forma independiente.
3. Envíe nuestro cuestionario Log4Shell a sus terceros con Atlas.
Una nueva plantilla de cuestionario titulada Preguntas Log4Shell ahora está disponible en Atlas. Si ya tiene Atlas, puede enviar este cuestionario a sus terceros de inmediato. Si no tiene Atlas, regístrese en atlas.securityscorecard.io o mire este video y aproveche los cinco créditos gratuitos que puede usar para enviar cuestionarios.
4. Haga cuatro preguntas a sus terceros:
¿Conoce la vulnerabilidad de log4shell?
¿Está utilizando una versión vulnerable de log4j?
5. Si la respuesta es sí…
¿Ha iniciado actividades de remediación o mitigación?
Symantec protege contra los intentos de explotación de dicha vulnerabilidad con las siguientes detecciones:
Basado en archivos
CL.Suspexec! Gen106
CL.Suspexec! Gen107
CL.Suspexec! Gen108
Linux.Kaiten
Caballo de Troya
Trojan.Maljava
Basado en aprendizaje automático
Heur.AdvML.C
Basado en red
Log4j2 RCE CVE-2021-44228: Ataque
Log4j2 RCE CVE-2021-44228 2: Ataque
Respuesta LDAP maliciosa: Ataque
Log4j2 RCE CVE-2021-44228: Auditoría
Respuesta LDAP maliciosa: Auditoría
Archivo sospechoso de clase Java que ejecuta comandos arbitrarios: Auditoría
Basado en políticas
DCS proporciona una gama de protección para las cargas de trabajo del servidor contra esta vulnerabilidad:
Las políticas de prevención evitan que el malware se elimine o ejecute en el sistema
Capacidad para bloquear o limitar LDAP, http y otro tráfico de cargas de trabajo del servidor y aplicaciones en contenedores utilizando log4j2 a servidores internos de confianza.
El sandboxing de las políticas de prevención brinda protección para RCE al evitar la ejecución de herramientas de uso dual, el robo de credenciales y la protección de recursos y archivos críticos del sistema.
En caso de usar SEPM, la versión 12 no contempla ninguna solución ya que ese complemento esta desactualizado y Apache ya no da soporte:
En SEPM 14, en el servidor debemos hacer lo siguiente:
1. Botón derecho en Inicio e ir a System
2.Clic en Advanced System settings
3.Clic en Environment Variables
4.Clic en New y en la ventana que se nos abre agregar en el campo variable LOG4J_FORMAT_MSG_NO_LOOKUPS y en valor true.
Si cuentas con soporte de NextVision, contáctanos para darte mayor asesoramiento. En caso contrario, puedes comunicarte con el equipo comercial para más información sobre nuestros servicios de consultoría/soporte:
Microsoft emitió un comunicado alertando sobre la existencia de ataques que están explotando una vulnerabilidad zero-day en Windows que aún no cuenta con parche.
El zero-day se encuentra en la Biblioteca Adobe Type Manager (atmfd.dll), una biblioteca que Microsoft usa para representar fuentes PostScript Tipo 1 en varias versiones de Windows, tanto para escritorio como para servidores.
Microsoft dice que hay dos vulnerabilidades de ejecución remota de código (RCE) en esta biblioteca incorporada, que permiten a los atacantes ejecutar código en el sistema de un usuario y tomar medidas en su nombre.
«Hay varias formas en que un atacante podría aprovechar la vulnerabilidad, como convencer a un usuario para que abra un documento especialmente diseñado o verlo en el panel de Vista previa de Windows», dijo la compañía.
Según Microsoft, todas las versiones actualmente compatibles de los sistemas operativos Windows y Windows Server son vulnerables; sin embargo, el zero -day es menos efectivo en Windows 10, donde el archivo atmfd.dll no está presente o se ejecuta dentro de un entorno limitado AppContainer con privilegios y capacidades limitados.
Las actualizaciones de seguridad no están disponibles actualmente. Microsoft insinuó que podrían llegar durante el Patch Tuesday del próximo mes, actualmente programado para el 14 de abril.
Mientras tanto, Microsoft ha publicado una serie de mitigaciones que las empresas y los usuarios domésticos pueden tomar si creen que podrían ser blanco de un ataque de zero-day en Windows. Microsoft dijo que las mitigaciones no son necesarias para los sistemas Windows 10, donde el día cero tiene un impacto reducido.
¿Qué recomendaciones hacemos desde NextVision para mitigar los posibles ataques?
– Desactivar el panel de detalles y el de vista previa en el Explorador de Windows.
– Desactivar el servicio WebClient.
– Renombrar el fichero atmfd.dll
El proximo patch de windows está programado para el 14 de Abril, para clientes con Windows 7 y Windows 2008 Server, dos sistemas operativos carentes ya de soporte oficial por parte de Microsoft. La compañía hará llegar el parche a quien tenga contratadas las ESU (actualizaciones de seguridad extendidas). De no contar con este licenciamiento se recomiendan utilizar tecnologías de Virtual Patching para segurizar y proteger estos sistemas vulnerables.
Contá con nosotros!
Comunicate con nuestro equipo para asesorarte estos temas y otras problemáticas de ciberseguridad.
Microsoft anunció el descubrimiento de un error “gusano” que pone en riesgo los antiguos, pero aún utilizados, sistemas operativos Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows XP y Windows 2003. Ante esto, la empresa aseguró que lanzará actualizaciones de seguridad para estas versiones, a pesar de que las mismas ya no cuentan con soporte técnico.
Es necesario que los sistemas expuestos sean parcheados lo antes posible, pues la vulnerabilidad descubierta reside en los “servicios de escritorio remoto” integrados en estas versiones, se caracteriza por ser pre-autenticación y no requiere la interacción de usuarios. Esta falla genera las condiciones para alimentar un malware de rápido movimiento que puede propagarse de una computadora vulnerable a otra vulnerable, de manera semejante a los ataques del ransomware WannaCry de 2017.
En total, Microsoft lanzó hoy 16 actualizaciones dirigidas a por lo menos 79 agujeros de seguridad en Windows y software relacionado. Casi una cuarta parte de ellos obtuvieron la calificación “crítica” más grave de Microsoft. Los errores críticos son aquellos que pueden ser explotados por programas maliciosos para penetrar en sistemas vulnerables de forma remota, sin la ayuda de los usuarios.
Otros productos de Microsoft que reciben parches hoy en día incluyen Office y Office365, Sharepoint, .NET Framework y el servidor SQL. Una vez más -la cuarta en este año-, Microsoft está parchando otra falla crítica en el componente de Windows responsable de asignar las direcciones de Internet a las computadoras host (también conocido como “cliente DHCP de Windows”).
¿Cuáles son las recomendaciones a seguir?
Parchear lo antes posible los sistemas. Para acceder a estas actualizaciones de seguridad se debe ingresar al sitio web de soporte técnico de Microsoft y realizar una búsqueda de la Guía de Orientación para el Cliente para la Vulnerabilidad CVE-2019-0708.
Realizar la actualización luego de haber hecho una buena copia de seguridad (backup).
Si bien cerrar el puerto 3389 a nivel de firewall puede parecer una solución, esta medida no es del todo confiable. Por esto insistimos en recurrir al parcheo y recomendamos soluciones de Vulnerability & Patch Management, las cuales ofrecerán información completa sobre los dispositivos y las aplicaciones presentes en la red, recopilarán datos sobre las versiones de software y comprobarán si se requieren actualizaciones o si se deben parchar vulnerabilidades.
Las vulnerabilidades detectadas se podrán priorizar automáticamente para que se apliquen los parches más urgentes y se implementen en forma prioritaria las actualizaciones más importantes
Implementar sistemas operativos actuales que reciban actualizaciones de seguridad y cuenten con soporte técnico vigente.
Implementar soluciones de seguridad que cuenten con anti Ransomware.
Fuentes consultadas:
Equipo de consultores de tecnología de Nextvision.
Se encontraron nuevas vulnerabilidades en los protocolos WPA/WPA2, utilizados para proteger la seguridad de todas las redes WiFi modernas.
El ataque se inicia en la etapa de negociación del protocolo, que es ejecutado cuando un cliente quiere unirse a una red WiFi protegida. Este mecanismo se usa para confirmar que tanto el cliente como el punto de acceso WiFi poseen las credenciales correctas. Por otro lado, también se encarga de negociar la clave para cifrar el tráfico producido mediante WiFi.
2. ¿Qué significa KRACK?
KRACK (Key Reinstallation Attacks) es el acrónimo con el que se llama a los ataques de reinstalación de clave que se utilizan para explotar las debilidades de WPA/WPA2.
3. ¿Cómo actúa?
El ataque funciona sobre las dos versiones de WPA e incluso aquellas que emplean AES para cifrar. Cuando un cliente se une a una red inalámbrica, ejecuta una negociación de autenticación conocida como handshake de 4 vías. En la tercera fase de dicha negociación, la clave de cifrado se instala y es usada para cifrar los datos mediante un protocolo.
Sin embargo, debido a que los mensajes pueden perderse, el sistema WiFi retransmite el tercer mensaje en caso de no recibir una respuesta apropiada de su llegada por parte del cliente, abriendo la posibilidad de retransmitirlo varias veces. Cada vez que se recibe este mensaje se reinstalará la misma clave de cifrado, por lo tanto se reinicia el número incremental de paquete transmitido (nonce) y se recibe un contador de repetición utilizado por el protocolo de cifrado.
Es importante tener en cuenta que cada ID de CVE describe una vulnerabilidad de protocolo específica y, por lo tanto, muchos proveedores se ven afectados por cada ID de CVE individual.
Los invitamos a leer la nota de vulnerabilidad VU # 228519 de CERT / CC para obtener detalles adicionales sobre qué productos han sido afectados.
5. ¿Cuáles son los posibles daños?
A través de su ejecución los ciber delincuentes podrían leer toda la información que no esté cifrada mediante una comunicación establecida por WPA/WPA2: números de tarjetas de crédito, contraseñas, mensajes de chat, emails y, en definitiva, cualquier dato que pase por la red WiFi y se encuentre en sitios poco protegidos.
6. ¿Qué podemos hacer ante esta amenaza?
Al estar hablando de un protocolo, serán los organismos IEE y Wifi Alliance los que deberá trabajar en encontrar un workaround a la versión actual o diseñar un nuevo estándar para que luego los fabricantes puedan desarrollar el nuevo código que permita reestablecer conexiones seguras en entornos wifi.
Hoy más que nunca, resulta FUNDAMENTAL para las empresas trabajar en capas de encriptación, para proteger la información crítica (almacenada y en tránsito) que pueda llegar a manos de delincuentes.
Desde NextVision, les facilitamos los siguientes materiales para una buena estrategia de Encriptación:
GUÍA SOBRE ENCRIPTACIÓN: Últimas novedades tecnológicas sobre cifrado de datos, buenas prácticas y casos de uso.
WEBINAR | ESTRATEGIAS DE ENCRIPTACIÓN DE DATOS que realizamos junto a Symantec para mostrar las diferentes soluciones de cifrado de datos, y cómo cifrar archivos, discos, correos electrónicos, enlaces, etc.
Siempre es importante poder conocer los posibles riesgos a los que nos enfrentamos, haciendo un análisis de nuestra propia infraestructura. Para eso, contamos con el Cybersecurity Health Check, un servicio de NextVision pensado para responder a ciberamenazas. Conocelo.
Fuentes:
Departamento Técnico de NextVision
KracksAttacks
This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.