Boletín semanal de ciberseguridad, 30 de abril — 6 de mayo

Telefónica Tech    6 mayo, 2022
Ordenador, taza de café, bloc de notas y móvil

TLStorm 2 – Vulnerabilidades en conmutadores Aruba y Avaya

Investigadores de Armis han descubierto cinco vulnerabilidades en la implementación de comunicaciones TLS en múltiples modelos de conmutadores de Aruba y Avaya.

En concreto, las vulnerabilidades se producen por un error de diseño similar a las vulnerabilidades TLStorm, descubiertas también por Armis a principios de año, que podrían permitir a un actor malicioso ejecutar código de forma remota en los dispositivos, afectando a potencialmente millones de dispositivos de infraestructura de red a nivel empresarial.

La causa del problema es debido a que el código que utilizan los proveedores no cumple con las pautas de la librería NanoSSL, por lo que en Aruba puede provocar desbordamientos de datos por las vulnerabilidades rastreadas como CVE-2022-23677 y CVE-2022-23676, con CVSS de 9.0 y 9.1 respectivamente.

Por otro lado, en Avaya, la implementación de la librería presenta tres fallos, un desbordamiento de reensamblaje de TLS (CVE-2022-29860 y CVSS de 9.8), desbordamiento de análisis de encabezado HTTP (CVE-2022-29861 y CVSS de 9.8) y un desbordamiento en el manejo de peticiones HTTP POST, sin CVE asignado.

Asimismo, de explotarse las vulnerabilidades de manera satisfactoria, podría producir desde fugas de información, la toma completa del dispositivo, hasta el movimiento lateral y la anulación de las defensas de segmentación de la red.

Desde Armis destacan que la infraestructura de la red en sí misma está en riesgo y es explotable por los atacantes, lo que significa que la segmentación de la red ya no puede considerarse una medida de seguridad suficiente.

Más info:  https://www.armis.com/blog/tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in-common-switches/

* * *

Millones de dispositivos IoT afectados por un error grave en el sistema DNS

El equipo de Nozomi Networks Labs ha descubierto una vulnerabilidad no parcheada que afecta directamente al sistema de nombres de dominio (DNS) de múltiples enrutadores y dispositivos IoT, implementados en varios sectores de la infraestructura crítica.

Concretamente, el fallo detectado se ubica en dos librerías C (uClibc y uClibc-ng) de uso muy común en productos IoT, empleadas por distribuciones de Linux como Embedded Gento, y ampliamente utilizadas por los principales proveedores como Netgear, Axis y Linksys.

Según la investigación, un actor amenaza podría usar el envenenamiento de DNS o la suplantación de DNS para redirigir el tráfico de red a un servidor bajo su control directo y, por lo tanto, robar o manipular la información transmitida por los usuarios y realizar otros ataques contra los dispositivos para comprometerlos por completo.

Nozomi calcula que más de 200 proveedores podrían verse afectados por esta vulnerabilidad, sin identificador CVE por el momento, y teniendo en cuenta que actualmente no existe parche que la solucione, los detalles técnicos concretos sobre su explotación no han sido publicados hasta que se encuentren disponibles nuevas versiones de firmware que corrijan el problema.

Más info:  https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-DNS-bug-in-popular-c-standard-library-putting-iot-at-risk/

* * *

​Vulnerabilidades graves en AVAST y AVG

El equipo de SentinelOne descubrió en diciembre de 2021 dos vulnerabilidades graves catalogadas como CVE-2022-26522 y CVE-2022-26523, en los antivirus de Avast y AVG. Estas vulnerabilidades habrían estado presentes para su explotación en los productos desde el año 2012 y afectaban al sistema “Anti Rootkit” de ambos productos.

Los fallos permitían a actores maliciosos explotar la conexión de socket en el controlador del kernel para escalar privilegios y así lograr deshabilitar los productos de seguridad, posibilitando la sobreescritura de los componentes del sistema, corromper el sistema operativo y/o realizar operaciones maliciosas sin obstáculos, como inyectar código, realizar movimientos laterales, instalar backdoors, etc.

Ambas vulnerabilidades fueron parcheadas con la versión 22.1 del antivirus Avast (AVG fue adquirido por el propio Avast en 2016), lanzada el pasado 8 de febrero. Finalmente, cabe destacar que a pesar del tiempo en el que han existido estas vulnerabilidades, no se han detectado indicios de explotación.

Más info: https://www.sentinelone.com/labs/vulnerabilities-in-avast-and-avg-put-millions-at-risk/

* * *

Vulnerabilidad en varias familias de ransomware podría evitar el cifrado de información

El investigador de seguridad John Page (hyp3rlinx) ha demostrado que varias de las familias de ransomware con mayor actividad reciente, son vulnerables a un fallo del tipo “secuestro de DLL” que impediría el propósito final de cifrar la información de sus víctimas.

Los detalles de su investigación han sido publicados a través del proyecto Malvuln, creado por el propio investigador, donde cataloga vulnerabilidades detectadas en muestras de malware. La explotación del fallo detectado consiste en un secuestro de DLL, un tipo de vulnerabilidad que generalmente se utiliza con fines de ejecución de código arbitrario y escalada de privilegios.

En este caso, mediante la creación de un archivo DLL especialmente diseñado que suplanta a la DLL necesaria para la ejecución del malware, se interceptarían y finalizarían los procesos del ransomware, evitando así el cifrado de la información.

Por el momento, Malvuln ha publicado algunas pruebas de concepto (PoC) que afectan a las familias de ransomware Conti, REvil, Loki Locker, Black Basta, AvosLocker, LockBit y WannaCry, sin descartar que el fallo también sea perfectamente explotable en otros ransomware.

Más info: https://www.malvuln.com/

Deja una respuesta

Tu dirección de correo electrónico no será publicada.