Posted on

Vulnerabilidades en Citrix ADC y Citrix Gateway

Introducción

Citrix ha publicado recientemente unas vulnerabilidades que afectan a Citrix ADC y Citrix Gateway. Se les ha asignado los CVE-2023-3519, CVE-2023-3466, CVE-2023-3467.

Análisis

CVE-2023-3466

Requiere que la víctima acceda a un enlace controlado por el atacante en el navegador mientras está en una red con conectividad al NSIP.

CVE-2023-3467   

Escalada de privilegios al administrador raíz (nsroot).  Acceso autenticado a NSIP o SNIP con acceso a la interfaz de administración.   

CVE-2023-3519

Ejecución de código remoto no autenticado. El dispositivo debe configurarse como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) O servidor virtual AAA

Versiones afectadas:

Las siguientes versiones compatibles de NetScaler ADC y NetScaler Gateway se ven afectadas por las vulnerabilidades:
NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.13

NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-91.13

NetScaler ADC 13.1-FIPS anterior a 13.1-37.159

NetScaler ADC 12.1-FIPS anterior a 12.1-55.297

NetScaler ADC 12.1-NDcPP anterior a 12.1-55.2970

Recomendaciones

Se recomienda a los afectados de NetScaler ADC y NetScaler Gateway a que instalen las versiones actualizadas pertinentes lo antes posible.

        • NetScaler ADC y NetScaler Gateway 13.1-49.13 y versiones posteriores
        • NetScaler ADC y NetScaler Gateway 13.0-91.13 y versiones posteriores de 13.0 
        • NetScaler ADC 13.1-FIPS 13.1-37.159 y versiones posteriores de 13.1-FIPS 
        • NetScaler ADC 12.1-FIPS 12.1-55.297 y versiones posteriores de 12.1-FIPS 
        • NetScaler ADC 12.1-NDcPP 12.1-55.297 y versiones posteriores de 12.1-NDcPP

Referencias

      • https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
Posted on

Actualizaciones de seguridad de Microsoft (Julio 2023)

INTRODUCCIÓN

 
Microsoft ha publicado recientemente su habitual paquete de actualizaciones de seguridad correspondiente al mes de Julio (Patch Tuesday). En este paquete se han publicado un total de 132 vulnerabilidades, 5 de ellas críticas, y el resto se han clasificado como importantes.
 
ANÁLISIS
 
Las vulnerabilidades publicadas afectan a múltiples productos de Microsoft, y son de los siguientes tipos:
 
  •     Escalada de privilegios
  •     Anulación de funciones de seguridad
  •     Suplantación de identidad
  •     Divulgación de información
  •     Secuencias de comandos en sitios cruzados
  •     Ejecución remota de código
  •     Denegación de servicio
 
 
Cabe destacar las 5 vulnerabilidades críticas:
 
  •     CVE-2023-32046: vulnerabilidad que podría permitir una escalada de privilegios en equipos Windows10.
  •     CVE-2023-32049: vulnerabilidad que podría permitir una anulación de funciones de seguridad en equipos Windows10.
  •     CVE-2023-35311: vulnerabilidad que podría provocar una anulación de funciones de seguridad en Microsoft Office, Microsoft 365 Apps y Microsoft Outlook.
  •     CVE-2023-36874: vulnerabilidad que podría provocar una escalada de privilegios en Windows Server 2008 y 2012.
  •     CVE-2023-36884 vulnerabilidad que podría provocar una ejecución remota de código en equipos Windows10, Windows Server y Microsoft Office.
 
 
RECOMENDACIONES
 
Instalar las actualizaciones correspondientes en cuanto estén disponibles.
 
Para conocer el detalle de las actualizaciones consultar el siguiente enlace: https://msrc.microsoft.com/update-guide/releaseNote/2023-Jul
 
REFERENCIAS
 
Posted on

Vulnerabilidades Mozilla Firefox, Firefox ERS y Thunderbird

Introducción

Se han descubierto múltiples vulnerabilidades en Mozilla Firefox, Firefox ERS y Thunderbird

Análisis

Mozilla ha emitido un aviso de seguridad donde se tratan 13 vulnerabilidades que afectan al navegador Firefox, Firefox ERS y al cliente de correo electrónico multiplataforma Mozilla Thunderbird. Dentro de estas destacan 4 de severidad alta cuyos identificadores son CVE-2023-37201, CVE-2023-37202, CVE-2023-37211, CVE-2023-37212, que de ser explotadas podrían conducir a condiciones use-after-free y de ejecución arbitraria de código.

      • CVE-2023-3482: Bloquear todas las cookies de bypass para localstorage
      • CVE-2023-37201: Use-after-free en la generación de certificados WebRTC
      • CVE-2023-37202: Posible uso después de la liberación de la falta de coincidencia de compartimento en SpiderMonkey
      • CVE-2023-37203: La API de arrastrar y soltar puede proporcionar acceso a archivos locales del sistema
      • CVE-2023-37204: Notificación de pantalla completa oscurecida a través del elemento de opción
      • CVE-2023-37205: Suplantación de URL en la barra de direcciones utilizando caracteres RTL
      • CVE-2023-37206: Validación insuficiente de enlaces simbólicos en la API FileSystem
      • CVE-2023-37207: Notificación de pantalla completa oscurecida
      • CVE-2023-37208: Falta de advertencia al abrir archivos Diagcab
      • CVE-2023-37209: Use-after-free en `NotifyOnHistoryReload`.
      • CVE-2023-37210: Prevención de salida del modo de pantalla completa
      • CVE-2023-37211: Fallos de seguridad de memoria corregidos en Firefox 115, Firefox ESR 102.13 y Thunderbird 102.13
      • CVE-2023-37212: Memory safety bugs fixed in Firefox 115

VERSIONES AFECTADAS:

      • Mozilla Firefox versiones anteriores a 115.
      • Firefox ESR versiones anteriores a 102.13.
      • Firefox Thunderbird versiones anteriores a 102.13.

Recomendaciones

Para la mitigación de estas vulnerabilidades, se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen las actualizaciones correspondientes.

Para solucionar los problemas mencionados, Mozilla recomienda instalar la versión más reciente de Firefox y Thunderbird.

      • Actualizar Mozilla Firefox a 115.
      • ActualizarFirefox ESR a 102.13.
      • Actualizar Firefox Thunderbird a 102.13.

Referencias

      • https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
      • https://nvd.nist.gov/vuln/detail/CVE-2023-3482
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37201
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37202
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37203
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37204
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37205
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37206
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37207
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37208
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37209
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37210
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37211
Posted on

Campañas de phishing para descargar malware

Introducción

Se han detectado campañas de correos maliciosos de tipo phishing que tienen como objetivo infectar los dispositivos con el malware conocido como Grandoreiro. 

Análisis

Los correos electrónicos detectados siguen el siguiente patrón:

En una de las campañas, el usuario recibe un correo electrónico, que parece provenir de una entidad de confianza, como, por ejemplo, una compañía de seguros. En el asunto se habla de un ‘aviso de transferencia’.

En el mensaje, dirigido al usuario que aparece en la dirección del correo electrónico, hace referencia al abono de una factura detallada en un fichero adjunto que se puede descargar en el enlace que se facilita.

Evidencia correo fraudulento Generali

Si el usuario descarga el archivo adjunto del enlace malicioso, este le descargará el malware Grandoreiro.

 

En otra campaña detectada, el phishing suplanta la identidad de una línea de supermercados, indicando al cliente que se le adjunta su factura electrónica.

Evidencia correo fraudulento Carrefour

Al pulsa en el enlace malicioso para descargar la supuesta factura, este le descargará el malware Grandoreiro comprimido en un archivo .zip.

 

En otro ejemplo, se suplanta la identidad de una conocida compañía telefónica. En este caso, se indica al titular del correo electrónico que se le ha adjuntado su factura electrónica del mes y para descargarla se debe hacer pulsar en el enlace malicioso.

Evidencia correo fraudulento Vodafone

Si el usuario pulsa en el enlace que, supuestamente, descarga la factura, este le descargará el malware.


Han sido detectadas, más campañas que se dirigen directamente al usuario por diferentes motivos como, por ejemplo, en nombre de una tercera empresa que suele ser proveedora. Todas tienen en común que facilitan un enlace para descargar una factura, comprobante o un documento de cualquier tipo.

Evidencia de correo fraudulento

En la siguiente evidencia observamos cómo se dirigen al usuario por su nombre y apellidos dando así un trato más personal y creíble.

Evidencia de correo fraudulento

En general, en todas las campañas detectadas, si el usuario pulsa en el enlace que acompaña al mensaje, este le descargará un malware conocido como Grandoreiro, de tipo troyano, que se caracteriza por extraer información bancaria.

No se descartan otras campañas similares donde varíe el asunto o cuerpo del mensaje.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal [2].

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

[1] Campaña de phishing que descarga malware Grandoreiro

[2] Portal: Informar de un phishing