Boletín semanal de ciberseguridad 24-30 de abril

BadAlloc – Vulnerabilidades críticas en dispositivos IoT y OT de uso industrial

Investigadores de seguridad de Microsoft han descubierto 25 vulnerabilidades críticas de ejecución remota de código (RCE), a las que se ha nombrado en conjunto como BadAlloc, que afectan a una amplia gama de dispositivos, desde el IoT del sector consumo y médico hasta los sistemas de tecnología operativa (OT) de control industrial. Un atacante, podría explotar los fallos para eludir los controles de seguridad y ejecutar código malicioso en los dispositivos o provocar un bloqueo en el sistema. Las vulnerabilidades estarían presentes en sistemas operativos en tiempo real (RTOS) ampliamente utilizados en sectores industriales, en kits de desarrollo de software embebido (SDK) e incluso en implementaciones de la biblioteca estándar C (libc). Los hallazgos se han compartido con los proveedores para la actualización de sus sistemas. El listado completo de vulnerabilidades puede consultarse en el sitio web del Departamento de Seguridad Nacional estadounidense.

Más info: https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/

Vulnerabilidad crítica identificada en Homebrew para MacOS y Linux

Un investigador de seguridad japonés llamado RyotaK reportó el pasado 18 de abril una vulnerabilidad en el repositorio oficial de Homebrew Cask que podría ser explotada por atacantes para ejecutar código arbitrario en las máquinas de usuarios que tuvieran Homebrew instalado. Homebrew es un sistema de gestión de paquetes de software libre y de código abierto que permite la instalación de software en el sistema operativo macOS de Apple, así como en Linux. Homebrew Cask amplía la funcionalidad para incluir flujos de trabajo de línea de comandos para aplicaciones de macOS basadas en GUI, fuentes, plugins y otro software que no sea de código abierto. El fallo reportado, para el que se publicó una PoC y que fue corregido tan sólo un día después de ser reportado, residía en la forma de gestionar los cambios de código en su repositorio de Github, que podría dar lugar a una solicitud maliciosa que fuera automáticamente revisada y aprobada. Desde Homebrew también se habría eliminado la acción «automerge» de GitHub, así como la GitHub «review-cask-pr» de todos los repositorios vulnerables.

Todos los detalles: https://brew.sh/2021/04/21/security-incident-disclosure/

Fallo en macOS permite la distribución del malware Shlayer

Apple ha publicado un parche para el sistema operativo macOS Big Sur, donde corrige una vulnerabilidad para la que no han trascendido más detalles por su parte pero que algunos investigadores describen como la peor vulnerabilidad para los sistemas operativos de Apple en años. A pesar de su gravedad, existe un primer paso necesario para su explotación que podría haber limitado de cierta manera el impacto, y es que para poder explotarlo, se debe convencer al usuario de que descargue o ejecute una aplicación que no está en la Apple Store o que no estaría permitida por Apple. Una vez se consigue ese primer acceso, los atacantes consiguen desplegar un malware mal clasificado por el sistema operativo de Apple, gracias a un error lógico en el código de macOS. Este malware puede omitir todas las comprobaciones realizadas por los mecanismos de seguridad de Apple, diseñadas para detener la ejecución de aplicaciones peligrosas no aprobadas. Investigadores de Jamf han denominado a este malware Shlayer, y confirman que se estaría distribuyendo al menos desde enero de este año. El fallo fue reportado a Apple por el investigador de seguridad Cedric Owens a mediados de marzo. Portavoces de Apple han confirmado que la compañía ha abordado el problema en macOS 11.3 y ha actualizado XProtect, su detección de malware, para bloquear el malware utilizando esta técnica. Según medios especializados, la vulnerabilidad estaría siendo explotada para la distribución de un malware contra ordenadores Mac al menos desde enero.

Info completa: https://www.forbes.com/sites/thomasbrewster/2021/04/26/update-your-mac-now-the-worst-hack-in-years-hits-apple-computers/?sh=540dd6b85da0

Vulnerabilidad crítica en Citrix ShareFile

El equipo de Citrix ha publicado una actualización de seguridad para corregir una vulnerabilidad crítica de control inadecuado de recursos en su software Citrix ShareFile. El fallo (CVE-2021-22891) se encuentra en el controlador de zonas de almacenamiento de Citrix ShareFile y podría permitir a un atacante remoto no autenticado vulnerar dicho controlador. Sin embargo, el agente amenaza debería tener acceso previo a la red del controlador para poder explotar este fallo. Las versiones afectadas por esta vulnerabilidad son las 5.7 anteriores a la 5.7.3, 5.8 anteriores a la 5.8.3, 5.9 anteriores a la 5.9.3, 5.10 anteriores a la 5.10.1 y 5.11 anteriores a la 5.11.18. Desde Citrix recomiendan actualizar lo antes posible el software a una versión que corrija este fallo.

Más detalles: https://support.citrix.com/article/CTX310780

Vulnerabilidad de autenticación en BIG-IP APM AD

Investigadores de Silverfort han revelado una nueva vulnerabilidad de evasión (CVE-2021-23008 CVSSv3 8.1) en la función de seguridad del Kerberos Key Distribution Center (KDC) que afectaría a BIG-IP Access Policy Manager (APM). Esta vulnerabilidad permite a un atacante eludir la autenticación de Kerberos al Access Policy Manager (APM) de BIG-IP, eludir las políticas de seguridad y, en algunos casos, evitar la autenticación a la consola de administración de BIG-IP. F5 Networks ha lanzado parches para corregir la vulnerabilidad con correcciones introducidas en las versiones 12.1.6, 13.1.4, 14.1.4 y 15.1.3 de BIG-IP APM. Se espera un parche similar para la versión 16.x próximamente.

Toda la info: https://support.f5.com/csp/article/K51213246