Boletín semanal de ciberseguridad 10-16 de julio

Actualización del incidente de Kaseya VSA

Tras conocerse el pasado día 2 de julio el ataque realizado por el grupo de ransomware REvil mediante Kaseya VSA, el domingo 11 de julio, Kaseya lanzó el parche para su software VSA (VSA 9.5.7a), estando disponible para clientes de VSA On-Premise y VSA SaaS. Con esta actualización se corrigen las vulnerabilidades catalogadas como CVE-2021-30116, CVE-2021-30119 y CVE-2021-30120, que permitían la fuga de credenciales, Cross-Site Scripting (XSS) y elusión del doble factor de autenticación, respectivamente. Esta nueva versión también corrige un fallo que permitía la carga de archivos sin autorización a un servidor VSA, además de utilizar el indicador de seguridad para las cookies de sesión del portal de usuario ya que no se estaba utilizando; también se han implementado mejoras en la seguridad de las respuestas de la API. En relación con el incidente, cabe destacar por otro lado la publicación este sábado de un artículo en Bloomberg, que recoge declaraciones de varios ex empleados de la compañía quienes aseguraban que desde hace años advirtieron sobre problemas graves en el software que no habrían sido tenidos en cuenta ni solucionados.

Toda la información: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021

SolarWinds corrige un nuevo 0-day activamente explotado

La compañía de software SolarWinds, quienes experimentaban el pasado año una de las campañas de ciberespionaje más sofisticada de los últimos tiempos, ha lanzado una actualización para una vulnerabilidad de día cero catalogada como CVE-2021-35211, la cual estaría afectando a su producto Serv-U. Según informan desde SolarWinds en su propio aviso, investigadores de Microsoft informaban a la tecnológica de una vulnerabilidad de ejecución remota de código (RCE por sus siglas en inglés) que estaba siendo activamente explotada. De ser aprovechada, un actor malicioso podría obtener acceso privilegiado en el host que aloje el producto Serv-U. Desde la compañía se desconoce el alcance real del fallo, por lo que no han aportado más detalles. Los productos afectados son Serv-U Managed File Transfer y Serv-U Secure FTP desde su versión 15.2.3 HF1 y anteriores. Desde SolarWinds han habilitado una actualización segura en la versión 15.2.3 HF2, a la que se recomienda actualizar.

Tras la publicación de la actualización de seguridad de SolarWinds, Microsoft publicaba nuevos detalles de la investigación llevada a cabo donde especifican que detectaron un exploit empleado en ataques dirigidos contra el producto Serv-U de SolarWinds y los atribuían a un actor de amenaza denominado DEV-0322. Según los investigadores, la actividad del citado grupo estaría localizada en China y emplearía soluciones de VPN comerciales, así como routers comprometidos como infraestructura de ataque. Consecuentemente, Microsoft observó que los objetivos de la campaña eran entidades norteamericanas de los sectores de software y defensa.

Más detalles: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211

Vulnerabilidad RCE crítica en ForgeRock Access Manager activamente explotada

Agencias de Ciberseguridad de Australia y Estados Unidos están alertando de una vulnerabilidad crítica de ejecución remota de código (RCE por sus siglas en inglés) en ForgeRock Access Management, aplicación de código abierto utilizada para la gestión de permisos en aplicaciones internas, catalogada como CVE-2021-35464. Este fallo fue descubierto y divulgado el pasado 29 de junio por Michael Stepankin, investigador de seguridad de PortSwigger. ForgeRock indica que este fallo afectaría a las versiones de Access Management (AM) inferiores a la 7.0 que ejecutan Java 8. Desde la compañía se recomienda aplicar los parches publicados el pasado 29 de junio sin demora, puesto que la vulnerabilidad se encuentra activamente explotada.

Para saber más: https://backstage.forgerock.com/knowledge/kb/article/a47894244

Boletín mensual de Microsoft

Microsoft ha publicado su boletín de seguridad de julio donde incluye correcciones para 117 vulnerabilidades, trece de ellas críticas. Entre los fallos destacan nueve 0-days, cuatro de los cuales estarían siendo activamente explotados:

• CVE-2021-34527 (PrintNightmare): Vulnerabilidad de ejecución remota de código en el administrador de impresión de Windows
• CVE-2021-33771: Vulnerabilidad de elevación de privilegios en el kernel de Windows
• CVE-2021-34448: Vulnerabilidad de corrupción de memoria del motor de scripting
• CVE-2021-31979: Vulnerabilidad de elevación de privilegios en el kernel de Windows

Además, es importante mencionar tres vulnerabilidades de ejecución remota de código (RCE) las cuales están afectando a Microsoft Exchange Server (CVE-2021-31206), al servidor DNS de Windows (CVE-2021-34494) y al kernel de Windows (CVE-2021-34458). Desde Microsoft recomiendan la actualización de los activos afectados.

Toda la info: https://msrc.microsoft.com/update-guide/releaseNote/2021-Jul

​​​Distribución de ransomware explotando firmware de SonicWall

SonicWall ha emitido un aviso de seguridad con carácter de urgencia ante la detección de una campaña de ransomware basada en la explotación de una vulnerabilidad en el firmware de algunos de sus productos. En concreto, los dispositivos vulnerables serían productos Secure Mobile Access (SMA) serie 100 y Secure Remote Access (SRA) que se encuentren ejecutando versiones del firmware 8.x. Desde la firma, recomiendan de forma urgente actualizar los productos a la versión 9.x. En caso de no ser posible actualizar, proponen las siguientes medidas de mitigación: desconexión inmediata de dispositivos SMA y SRA vulnerables, restablecimiento de las contraseñas y activación de medidas multifactor para la autenticación (MFA). A pesar de que en el aviso de SonicWall no se aporta el detalle de la vulnerabilidad concreta que estaría siendo aprovechada, investigadores de seguridad de Crowdstrike, que descubrían y alertaban de un fallo en este firmware el pasado mes de junio, confirman que se trataría de la misma vulnerabilidad que detallaban en su artículo hace unas semanas y al que identificaban como CVE-2019-7481. Por su parte, desde el equipo de respuesta a incidentes de SonicWall han publicado también un aviso para alertar de este fallo, sin llegar a asociarle el identificador que vinculaban desde Crowdstrike en su artículo, pero otorgándole una severidad de CVSSv3 9.8.

Más: https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/