Boletín semanal de Ciberseguridad, 15 – 19 de mayo

Vulnerabilidades en plataformas cloud

El equipo de investigadores de Otorio descubrió 11 vulnerabilidades que afectan a diferentes proveedores de plataformas de administración de cloud. En concreto, se tratan de Sierra Wireless, Teltonika Networks e InHand Networks las compañías afectadas.

En relación con los fallos de seguridad los que afectan a Teltonika Networks son CVE-2023-32346, CVE-2023-32347, CVE-2023-32348, CVE-2023-2586, CVE-2023-2587 y CVE-2023-2588 identificados en el sistema de administración remota (RMS), su explotación podría exponer información confidencial y permitir la ejecución remota de código (RCE).

En relación con las vulnerabilidades en InHand Networks, CVE-2023-22600, CVE-2023-22598, CVE-2023-22599, CVE-2023-22597 y CVE-2023-2261 podrían ser aprovechadas por actores maliciosos para realizar RCE.

En último lugar, los fallos identificados en Sierra Wireless, CVE-2023-31279 y CVE-2023-31280, podrían permitir a un atacante buscar dispositivos no registrados que estén conectados a la nube, obtener sus números de serie y registrarlos en una cuenta bajo su control con el objetivo de ejecutar comandos.

Más info →

El nuevo TLD .zip, bajo la lupa de los investigadores

​El 3 de mayo Google abrió el registro de nuevos dominios bajo ocho nuevos TLD que incluyen .dad, .esq, .prof, .phd, .nexus, .foo, .mov y, especialmente, .zip. El registro de este último está generando mucha controversia entre la comunidad de seguridad dado que puede ser utilizado en campañas de phishing que distribuyan archivos comprimidos .zip.

Algunos investigadores ya han conseguido ingeniárselas para aprovechar la existencia de estos dominios junto con el uso de caracteres especiales en la barra de direcciones y camuflar enlaces a archivos maliciosos bajo direcciones URL con la apariencia de ser legítimas.

Para ello, un adversario podría utilizar caracteres Unicode especiales como las barras de U+2044 (⁄) y U+2215 (∕) que visualmente se parecen al carácter de la barra convencional, U+002F (/) y explotar la forma en que algunos navegadores interpretan el carácter arroba (@) en una dirección URL para conseguir redirecciones no deseadas.

Por este motivo, se recomienda prestar atención a todos aquellos enlaces que contengan los caracteres U+2044 (⁄) y U+2215 (∕), que además incluyan una arroba y que apunten a presuntos ficheros comprimidos .zip dado que podrían incluir, en realidad, una redirección encubierta hacia dominios de este nuevo TLD. 

Más info →

Vulnerabilidades críticas en Cisco Small Business Series Switches

Cisco ha emitido un aviso de seguridad en el que informa de que ha corregido nueve vulnerabilidades críticas en sus productos Small Business Series Switches. A las vulnerabilidades se les han asignado los siguientes CVE y CVSS: CVE-2023-20159 (CVSS: 9.8), CVE-2023-20160 (CVSS: 9.8), CVE-2023-20161 (CVSS: 9.8), CVE-2023-20189 (CVSS: 9.8), CVE-2023-20024 (CVSS: 8.6), CVE-2023-20156 (CVSS: 8.6), CVE-2023-20157 (CVSS: 8.6), CVE-2023-20158 (CVSS: 8.6) y CVE-2023-20162 (CVSS: 7.5).

Todos los agujeros de seguridad afectan a las versiones 200, 250, 300, 350, 350X y 500 de Small Business Series Switches y se deben a una validación incorrecta de las solicitudes que se envían a la interfaz web. Lo cual podría permitir que un actor de amenazas remoto no autenticado provoque una condición de denegación de servicio (DoS) o ejecute código arbitrario con privilegios de root en un dispositivo afectado.

Cisco informa de que ha emitido actualizaciones de software que abordan estas vulnerabilidades y que no hay soluciones alternativas por lo que se recomienda actualizar a la última versión disponible.

Más info →

Google corrige una vulnerabilidad crítica en Chrome 113

Google ha emitido una actualización de seguridad de Chrome 113 en la que se corrigen un total de 12 vulnerabilidades, una de ellas crítica. Esta última, identificada como CVE-2023-2721 y aún pendiente de CVSS, se trata de una vulnerabilidad use-after-free (UAF) que permitiría a un atacante remoto crear una página HTML que desencadene una situación de heap corruption cuando un usuario acceda a la misma.

Para que un atacante pudiera explotar este error de seguridad sería necesario convencer al usuario de visitar la página. Esta y otras cinco de las vulnerabilidades corregidas habrían sido notificada a Google por investigadores externos cuyas recompensas irían de los 1500$ a los 7000$.

Esta actualización está disponible para versiones 113.0.5672.126 en dispositivos Mac y Linux y 113.0.5672.126/.127 para Windows.

Más info →

​Apple corrige tres vulnerabilidades 0-day y decenas de CVEs más en toda su gama

Apple ha publicado actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS, watchOS y el navegador web Safari; y advirtió acerca de tres vulnerabilidades 0-day que se estarían explotando activamente.

Dichos errores de seguridad afectan el motor de navegador WebKit que Apple emplea en su navegador Safari, y requiere que lo utilicen otros navegadores en iOS. La primera vulnerabilidad (CVE-2023-32409) es una fuga de sandbox que permite a los atacantes remotos escapar de los sandboxes de contenido web.

Las otras dos (CVE-2023-28204 y CVE-2023-32373) consisten en una lectura fuera de los límites que permite a los actores de amenaza obtener acceso a información confidencial y lograr la ejecución de código arbitrario en dispositivos comprometidos.

Los CVE fueron recientemente asignados, por lo que no se dispone de información detallada. Apple recomienda a todos los usuarios actualizar sus dispositivos a la última versión disponible.

Más info →

Foto de apertura: Jonathan Kemper / Unsplash.