Posted on

Vulnerabilidades Mozilla Firefox, Firefox ERS y Thunderbird

Introducció

S’han descobert múltiples vulnerabilitats en Mozilla Firefox, Firefox ERS i Thunderbird.

Anàlisi

Mozilla ha emés un avís de seguretat on es tracten 13 vulnerabilitats que afecten el navegador Firefox, Firefox ERS i al client de correu electrònic multiplataforma Mozilla Thunderbird. Dins d’estes destaquen 4 de severitat alta els identificadors de la qual són CVE-2023-37201, CVE-2023-37202, CVE-2023-37211, CVE-2023-37212, que de ser explotades podrien conduir a condicions use-after-free i d’execució arbitrària de codi.

      • CVE-2023-3482: Bloquejar totes les cookies de bypass per a localstorage
      • CVE-2023-37201: Use-after-free en la generació de certificats WebRTC
      • CVE-2023-37202: Possible ús després de l’alliberament de la falta de coincidència de compartiment en SpiderMonkey
      • CVE-2023-37203: L’API d’arrossegar i soltar pot proporcionar accés a arxius locals del sistema
      • CVE-2023-37204: Notificació de pantalla completa enfosquida a través de l’element d’opció
      • CVE-2023-37205: Suplantació d’URL en la barra de direccions utilitzant caràcters RTL
      • CVE-2023-37206: Validació insuficient d’enllaços simbòlics en l’API FileSystem
      • CVE-2023-37207: Notificació de pantalla completa enfosquida
      • CVE-2023-37208: Falta d’advertiment en obrir arxius Diagcab
      • CVE-2023-37209: Use-after-free en `NotifyOnHistoryReload`.
      • CVE-2023-37210: Prevenció d’eixida del mode de pantalla completa
      • CVE-2023-37211: Fallades de seguretat de memòria corregits en Firefox 115, Firefox ESR 102.13 i Thunderbird 102.13
      • CVE-2023-37212: Memory safety bugs fixed in Firefox 115

VERSIONS AFECTADES:

      • Mozilla Firefox versions anteriors a 115.
      • Firefox ESR versions anteriors a 102.13.
      • Firefox Thunderbird versions anteriors a 102.13.

Recomanacions

Per a la mitigació d’estes vulnerabilitats, es recomana tindre sempre els sistemes i aplicacions actualitzades a l’última versió disponible quan es publiquen les actualitzacions corresponents.

Per a solucionar els problemes esmentats, Mozilla recomana instal·lar la versió més recent de Firefox i Thunderbird.

      • Actualitzar Mozilla Firefox a 115.
      • Actualitzar Firefox ESR a 102.13.
      • Actualitzar Firefox Thunderbird a 102.13.

Referències

      • https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
      • https://nvd.nist.gov/vuln/detail/CVE-2023-3482
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37201
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37202
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37203
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37204
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37205
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37206
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37207
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37208
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37209
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37210
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37211
Posted on

Campañas de phishing para descargar malware

Introducción

Se han detectado campañas de correos maliciosos de tipo phishing que tienen como objetivo infectar los dispositivos con el malware conocido como Grandoreiro. 

Análisis

Los correos electrónicos detectados siguen el siguiente patrón:

En una de las campañas, el usuario recibe un correo electrónico, que parece provenir de una entidad de confianza, como, por ejemplo, una compañía de seguros. En el asunto se habla de un ‘aviso de transferencia’.

En el mensaje, dirigido al usuario que aparece en la dirección del correo electrónico, hace referencia al abono de una factura detallada en un fichero adjunto que se puede descargar en el enlace que se facilita.

Evidencia correo fraudulento Generali

Si el usuario descarga el archivo adjunto del enlace malicioso, este le descargará el malware Grandoreiro.

 

En otra campaña detectada, el phishing suplanta la identidad de una línea de supermercados, indicando al cliente que se le adjunta su factura electrónica.

Evidencia correo fraudulento Carrefour

Al pulsa en el enlace malicioso para descargar la supuesta factura, este le descargará el malware Grandoreiro comprimido en un archivo .zip.

 

En otro ejemplo, se suplanta la identidad de una conocida compañía telefónica. En este caso, se indica al titular del correo electrónico que se le ha adjuntado su factura electrónica del mes y para descargarla se debe hacer pulsar en el enlace malicioso.

Evidencia correo fraudulento Vodafone

Si el usuario pulsa en el enlace que, supuestamente, descarga la factura, este le descargará el malware.


Han sido detectadas, más campañas que se dirigen directamente al usuario por diferentes motivos como, por ejemplo, en nombre de una tercera empresa que suele ser proveedora. Todas tienen en común que facilitan un enlace para descargar una factura, comprobante o un documento de cualquier tipo.

Evidencia de correo fraudulento

En la siguiente evidencia observamos cómo se dirigen al usuario por su nombre y apellidos dando así un trato más personal y creíble.

Evidencia de correo fraudulento

En general, en todas las campañas detectadas, si el usuario pulsa en el enlace que acompaña al mensaje, este le descargará un malware conocido como Grandoreiro, de tipo troyano, que se caracteriza por extraer información bancaria.

No se descartan otras campañas similares donde varíe el asunto o cuerpo del mensaje.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal [2].

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

[1] Campaña de phishing que descarga malware Grandoreiro

[2] Portal: Informar de un phishing

Posted on

Múltiples vulnerabilidades en LaserJet Pro de HP

Introducció

HP ha notificat 4 vulnerabilitats de severitat alta que podrien provocar un desbordament de búfer, execució remota de codi, divulgació d’informació o denegació de servici.

Anàlisi

Un atacant que explotara les 4 vulnerabilitats detectades, podria provocar un desbordament del búfer, execució remota de codi, divulgació d’informació o denegació de servici. Les 4 vulnerabilitats han rebut una puntuació CVSS de 8.8, i se’ls han assignat els següents identificadors:
 
CVE-2023-35175: Uns certs productes d’impressió HP LaserJet Pro són potencialment vulnerables a la possible execució remota de codi i/o elevació de privilegis a través de la falsificació de sol·licituds del costat del servidor (SSRF) utilitzant el model Web Service Eventing.
CVE-2023-35176: Alguns productes d’impressió HP LaserJet Pro són potencialment vulnerables al desbordament del búfer i/o a la denegació de servici en utilitzar la funció de còpia de seguretat i restauració a través del servici web integrat en el dispositiu.
CVE-2023-35177: Uns certs productes d’impressió HP LaserJet Pro són potencialment vulnerables a un desbordament de búfer basat en pila relacionat amb l’analitzador de format de font compacta.
CVE-2023-35178: Uns certs productes d’impressió HP LaserJet Pro són potencialment vulnerables al desbordament del búfer en realitzar una sol·licitud GET per a escanejar treballs.
 

Versions afectades:

    • Impressora multifunció HP Color LaserJet serie M478-M479
    • Serie HP Color LaserJet Pro M453-M454
    • Sèrie d’impressores HP LaserJet Pro M304-M305
    • Sèrie d’impressores HP LaserJet Pro M404-M405
    • HP LaserJet Pro MFP M428-M429 serie f
    • Impressora multifunció HP LaserJet Pro serie M428-M429

Recomanacions

Instal·le l’última versió del firmware [5] n la qual HP ha corregit estes vulnerabilitats.
No s’han trobat solucions alternatives o workarounds.

Referències

Posted on

Actualización firmware Asus routers

Introducció

ASUS ha publicat noves actualitzacions per a firmware on incorpora múltiples correccions de seguretat.

Anàlisi

El nou firmware corregix 9 vulnerabilitats, 2 d’elles crítiques, que podrien permetre a un ciberdelinqüent realitzar atacs Dos o executar codi arbitrari.

Un atac exitós a l’encaminador podria comprometre totes les comunicacions de la xarxa empresarial, posant en risc la informació sensible d’esta.

Versions afectades:

    • GT6;
    • GT-AXE16000;
    • GT-AXE11000 PRO;
    • GT-AXE11000;
    • GT-AX6000;
    • GT-AX11000;
    • GS-AX5400;
    • GS-AX3000;
    • ZenWiFi XT9;
    • ZenWiFi XT8;
    • ZenWiFi XT8_V2;
    • RT-AX86U PRO;
    • RT-AX86U;
    • RT-AX86S;
    • RT-AX82U;
    • RT-AX58U;
    • RT-AX3000;
    • TUF-AX6000;
    • TUF-AX5400.

Recomanacions

Es recomana als usuaris de routers ASUS realitzar les següents accions:

    • Actualitzar a la versió de firmware més recent al més prompte possible.
    • Utilitzar contrasenyes diferents per a la xarxa sense fil i la pàgina web d’administració. Les contrasenyes han de ser robustes, amb una longitud d’almenys huit caràcters i que incloga lletres majúscules, minúscules, números i símbols. És important no utilitzar la mateixa contrasenya per a altres dispositius o servicis.
    • Habilitar ASUS AiProtection sempre que siga possible. Les instruccions es poden trobar en el manual del producte o en la pàgina de suport d’ASUS.

Referències

https://www.asus.com/content/asus-product-security-advisory/#header44

https://www.asus.com/support/