Posted on

Vulnerabilitat crítica en libwebp sent explotada activament – Obté la puntuació màxima en CVSS

INTRODUCCIÓ

Google ha assignat un nou identificador CVE per a una vulnerabilitat a la biblioteca d’imatges libwebp, utilitzada per a renderitzar imatges en format WebP, que ha sigut vista explotada activament. La vulnerabilitat, identificada com CVE-2023-5129, ha sigut qualificada amb la màxima puntuació de gravetat (10.0) en el sistema de qualificació CVSS.

ANÀLISI

La vulnerabilitat permet que, mitjançant un arxiu WebP especialment dissenyat, la biblioteca libwebp escriga dades fora dels límits de la memòria, la qual cosa podria portar a problemes de seguretat greus. Esta vulnerabilitat es basa en un problema relacionat amb l’algorisme de codificació Huffman. 

RECOMANACIONS

De moment no s’ha generat cap pegat per a mitigar esta vulnerabilitat, des del CSIRT-CV es generarà una nova CAT quan hi haja actualització sobre aquest tema.

Mantindre els sistemes actualitzats és essencial per a la seguretat de les empreses, una mala planificació de les actualitzacions podria suposar un perill. A més, tindre un pla d’actuació enfront d’incidents pot minimitzar l’impacte d’un ciberatac.

RECURSOS AFECTATS

Libwebp Image Library

REFERÈNCIES

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-5129

[2] https://chromium.googlesource.com/webm/libwebp/+/2af26267cdfcb63a88e5c74a85927a12d6ca1d76

Posted on

El Red Team del CSIRT-CV ocupa la primera posició del rànquing d’investigadors de problemes de seguretat del CNA d’INCIBE

L’equip Red Team del CSIRT-CV ha detectat 7 vulnerabilitats, que afecten a QSige de IDM Sistemes, un sistema intel·ligent de gestió d’esperes.

L’ Equip d’Atac (Red Team) del CSIRT-CV participa, des de 2020, en el programa CVE coordinat pel CNA d’INCIBE com a investigadors de problemes de seguretat.

Gràcies a reportar vulnerabilitats, dos companys de l’Equip d’Atac del CSIRT-CV, Pablo Arias Rodríguez i Jorge Alberto Palma Reyes han aconseguit el primer lloc del rànquing d’investigadors amb 16 vulnerabilitats reportades fins ara.

INCIBE, per la seua part, s’ha encarregat de coordinar la publicació d’aquestes vulnerabilitats, a les quals se’ls han assignat els següents codis, puntuació base CVSS v3.1, vector del CVSS i el tipus de vulnerabilitat CWE de cada vulnerabilitat:

  • CVE-2023-4097: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-434.
  • CVE-2023-4098: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4099: CVSS v3.1: 7,6 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L | CWE-639.
  • CVE-2023-4100: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L | CWE-79.
  • CVE-2023-4101: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-639.
  • CVE-2023-4102: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4103: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.

Cal ressaltar que les vulnerabilitats reportades estan solucionades en l’última versió del producte afectat.

Pots consultar el llistat de referències en la web del propi producte – QSige i conéixer els detalls accedint a la notícia de INCIBE.

Posted on

CSIRT-CV identifica diverses vulnerabilitats en ARCONT Àuria, un programari per a l’enregistrament de vistes judicials

Dos companys de l’equip Red Team del CSIRT-CV, Pablo Arias Rodríguez i Jorge Alberto Palma Reyes, han detectat cinc vulnerabilitats en Arcont Àuria, un programari per a l’enregistrament, emmagatzematge i gestió de tota la informació generada en els tribunals judicials, desenvolupada per Fujitsu.

INCIBE, per la seua part, s’ha encarregat de coordinar la publicació d’aquestes bretxes de seguretat, que afectaven les versions d’aquest producte inferiors a la 1.5.0.0.

A aquestes cinc vulnerabilitats, s’han assignat els següents codis: puntuació base

  • CVE-2023-4092: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4093: CVSS v3.1: 5,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
  • CVE-2023-4094: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L | CWE-1390.
  • CVE-2023-4095: CVSS v3.1: 5,3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-204.
  • CVE-2023-4096: CVSS v3.1: 8,6 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L | CWE-604.

Per a conéixer els detalls, pots consultar ací la publicació de INCIBE.

Finalment, cal ressaltar, que aquestes vulnerabilitats han sigut solucionades per Fujitsu en la versió 1.5.0.0, publicada el 4/4/2022, i que totes les noves versions del producte, inclosa l’última 1.6.2.3, també inclou les correccions.

Posted on

Butlletí d’agost 2023

Per a acomiadar el calorós mes d’agost, us compartim una nova edició del nostre butlletí informatiu, que recull un resum de les vulnerabilitats detectades, alguns consells i bones pràctiques en matèria de ciberseguretat. El nostre objectiu, continuar conscienciant els nostres subscriptors en matèria de seguretat de la informació en honor que els vostres sistemes, dades i equips estiguen protegits davant possibles amenaces cibernètiques. Continueu llegint per a mantindre-vos informats i al dia!

Joves i gamers

Durant aquest mes, hem posat el nostre focus d’atenció en dos sectors del nostre públic, vulnerables a ser víctimes dels ciberdelinqüents per diferents motius com podrien ser el phishing i estafes en línia, robatori de comptes, assetjament en línia, compres no autoritzades o malware en mods: els joves i els gamers (aficionats als videojocs).

Coincidint amb el Dia Internacional de la Joventut (12 d’agost) i el Dia Internacional del Gamer (29 d’agost), des de CSIRT-CV hem llançat una sèrie de consells i recomanacions per a empoderar els joves i proporcionar-los el coneixement necessari per a prendre les decisions adequades en el món digital.

Gràcies a això, reduiran la probabilitat de ser víctimes de ciberatacs. La formació i la conscienciació són fonamentals perquè els nostres joves puguen convertir-se en vertaders ciber-herois. Amb quin ciber-heroi et sents més identificat? Accedeix ací per a veure la infografia completa.

 

Dia Internacional del Gamer

Jugar als videojocs és el passatemps principal dels nostres joves i no tan joves. Els gamers (jugadors de videojocs) són molt diversos i no es limiten a una sola consola, telèfon o plataforma PC. Els fanàtics dels videojocs tenen una gran passió per l’aventura, els reptes personals i els jocs compartits, per això el 29 d’agost se celebra el Dia Internacional del Gamer amb l’objectiu de reconéixer i celebrar la cultura dels videojocs.

Des de CSIRT-CV, ens sumem a aquesta celebració i aportem el nostre granet d’arena proporcionant 10 consells de seguretat relacionats amb els videojocs, ja que és necessari que recordem aplicar bones pràctiques per a protegir la informació personal, previndre fraus, garantir una experiència de joc segura i protegir els comptes i la inversió dels jugadors, així com promoure una comunitat de joc més saludable i respectuosa sense donar cabuda a qüestions com el ciberassetjament i el comportament tòxic.

En la nostra web de concienciaT podràs descarregar la infografia 10 Consells de Ciberseguretat per a Gamers i a més, si eres pare/mare/tutor de gamers o jugador, i t’inquieten els riscos associats als videojocs, pots fer aquest curs en línia gratuït d’una hora per a aclarir tots els dubtes que tingues i prendre totes les precaucions que estan al teu l’abast.

 

Alertes de seguretat

Finalment, recollim les tres alertes de seguretat més destacables en aquest mes:

  • Campanya de phishing a través de codis QR: L’objectiu d’aquesta campanya d’enginyeria social és elaborar un llistat d’usuaris susceptibles a futurs enganys. Mentre que en aquesta ocasió a la víctima se li ha demanat «actualitzar la seua informació» des d’un enllaç del QR, en ocasions pròximes podria consistir en el robatori de credencials, pagaments a l’entitat equivocada per suplantació, descàrrega de malware
  • Actualitzacions de seguretat de Microsoft d’agost de 2023: Microsoft va publicar un llistat amb 74 vulnerabilitats (amb CVE assignat) i dos avisos de seguretat corresponents al mes d’agost perquè els usuaris procediren a l’actualització de seguretat corresponent. Davant qualsevol dubte, els usuaris poden dirigir-se a la pàgina de Microsoft i informar-se dels diferents mètodes per a dur a terme aquestes actualitzacions.
  • Vulnerabilitat que afecta els processadors Intel: Un investigador de Google va descobrir un atac, anomenat Downfall, que s’ha identificat la vulnerabilitat com CVE-2022-40982 que afectava els processadors Intel des de la 6a generació Skylake fins a l’11a generació Tiger Lake. L’empresa recomana als usuaris dels processadors Intel afectats actualitzar-los a l’última versió del firmware proporcionada pel fabricant del sistema per a solucionar aquests problemes.

T’animem a compartir aquest butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessites més formació en aquesta àrea, no dubtes a visitar les nostres webs en què trobaràs consells, cursos, informes i molt més contingut: https://www.csirtcv.gva.es/?lang=va i https://concienciat.gva.es/va així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).