Desde CSIRT-CV informamos de la vulnerabilidad descubierta en la suite ofimática LibreOffice y OpenOffice. Esta vulnerabilidad puede ser ejecutada a través de un documento .ODT, especialmente diseñado, para realizar una ejecución remota de código en estas dos herramientas ofimáticas. A esta vulnerabilidad se la ha identificado con el código CVE-2018-16858.

Para corregir la vulnerabilidad, LibreOffice, aconseja actualizar a la última versión disponible de la suite desde su pagina web oficial https://www.libreoffice.org/. 

OpenOffice no ha publicado todavía una actualización que corrija la vulnerabilidad, pero como solución temporal desde INCIBE recomiendan renombrar el archivo "pythonscript.py", ubicado en "\OpenOffice4\program".

Más información: 
https://thehackernews.com/2019/02/hacking-libreoffice-openoffice.html
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-las-suites-ofimatica-openoffice-y-libreoffice
https://www.libreoffice.org/about-us/security/advisories/cve-2018-16858/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16858

 

Desde CSIRT-CV les informamos de la aparición de vulnerabilidades críticas en distintos modelos de routers de diferentes fabricantes enfocados a uso doméstico, pequeñas y medianas empresas, así como modelos de NAS que se cree pueda afectar a más de 500000 routers de unos 54 paises en todo el mundo y que una vez comprometidos puedan ser utilizados como botnet para realizar diversos ataques dirigidos de DDOS, escaneo y reconocimiento de puertos TCP, exfiltración de datos de usuario y ataques contra infraestructuras SCADA.

Las marcas y modelos afectados son los siguientes:

Linksys: E1200 E2500 WRVS4400N

Versiones Mirkotik Router OS para cloud core routers: 1016 1036 1072

Netgear: DGN2200 R6400 R7000 R8000 WNR1000 WNR2000

Qnap (NAS): TS251 TS439 Pro

TP-LINK: R600VPN

El malware VPNFilter está considerado como muy sofisticado, según investigadores de Cisco tiene bastantes similitudes con BlackEnergy, un malware destinado al ataque contra infraestructuras críticas SCADA y sobretodo centrales elétricas y empresas relacionadas con el sector energético, supuestamente utilizado por el gobierno ruso en operaciones dirigidas contra Ucrania.

La infección y posterior toma de control consta de 3 fases reconocidas, donde en una primera se introduce el malware que actúa como command and control y que consigue persistencia tras un reinicio y sirve como lanzadera para lanzar la segunda fase, que aunque no es persistente a reinicios ya permite ejecutar código remoto, exfiltración de información, descarga de ficheros del sistema y acceso a la configuración del dispositivo, así como autodestruir el sistema si se desea.

En la tercera fase se busca añadir funcionalidad modular en forma de plugins al malware no persistente de la fase 2, donde se instala un sniffer de red que analiza todo el tráfico de la consiguiente red incluyendo robo de credenciales y monitorización de protocolos SCADA, así como añadir funcionalidades de comunicación mediante TOR para ocultar la exfltración de información y posterior ejecución de comandos remotos.

Las recomendaciones de seguridad por parte de CSIRT-CV son:

1. Restaurar el router de fábrica para eliminar el código malicioso persistente.

2. Actualizar el firmware del dispositivo a la última versión disponible.

En caso de no tener parche disposible por parte del fabricante para el modelo concreto y no poder restaurar el router de fábrica se recomienda al menos reiniciarlo para que las fases 2 y 3 pierdan la persistencia.

Hay noticias de que el FBI ha encontrado y bloqueado un servidor de comand and control relacionado con este tipo de malware, pero es probable que los routers comprometidos puedan ser infectados de nuevo cambiando la dirección del servidor por lo que únicamente reiniciar no es la opción más recomendable.

Más información: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/el-malware-vpnfilter-afecta-routers-y-dispositivos

Fuente: https://blog.talosintelligence.com/2018/05/VPNFilter.html

Buenos días,

Acorde al cumplimiento del Reglamento General de Protección de Datos de la Unión Europea (RGPD), el cual es aplicable desde el 25 de mayo de 2018, le informamos que CSIRT-CV no cede los datos, de sus listas de suscriptores de boletines, a terceros.

El objetivo de este correo electrónico es informarle de que su nombre, y otra información de contacto personal, reside actualmente en nuestros sistemas internos para realizar estos envíos principalmente.

Deseamos que nuestros boletines, enviados por correo electrónico, que informan sobre las alertas de seguridad más críticas actualmente, le sean de interés. Si no desea continuar recibiendo estos boletines puede darse de baja mediante este enlace.

Esperamos seguir contando con su usted entre nuestros suscriptores.

Un saludo,
CSIRT-CV.

Se ha publicado una nueva vulnerabilidad que afecta a los clientes de correo electrónico que utilizan OpenPGP y S/MIME para cifrar los mensajes de correo.

Al parecer existe un fallo en el modo como algunos clientes de correo tratan la gestión de errores de OpenPGP y S/MIME, lo que podría provocar que un atacante pudiera tener la capacidad de poder exfiltrar el contenido del mensaje cifrado.

Para más información puede visitar el siguiente enlace:

Se ha detectado una nueva vulnerabilidad crítica en productos Cisco ASA. Esta vulnerabilidad reside en la funcionalidad Secure Sockets Layer (SSL) VPN del software Cisco Adaptive Security Appliance (ASA).

Esta vulnerabilidad puede permitir a un atacante ejecutar código de forma remota o causar una denegación de servicio sobre los productos afectados.

Para más información visitar el siguiente enlace:

Hoy se ha descubierto una grave vulnerabilidad en equipos Macintosh. Se explica en la siguiente alerta:

A lo largo del día de hoy se ha detectado un nuevo ransomware de rápida propagación llamado Bad Rabbit con un funcionamiento similar a los ya conocidos Wannacry y Petya, que utiliza como método principal de infección una falsa actualización de Adobe Flash.

Es importante tener los equipos actualizados y parcheados completamente a fecha de hoy.

Microsoft ha publicado una guía con acciones de prevención para este ransomware.

Más información:

• blog.talosintelligence.com
• exchange.xforce.ibmcloud.com

A continuación podrá encontrar información más detallada de la noticia publicada en nuestro portal:

El pasado lunes 16 de octubre de 2017 os informamos de nuevas vulnerabilidades que afectan al protocolo de cifrado de comunicaciones de redes inalámbricas WPA2 y que podría permitir a un atacante espiar las comunicaciones de una Wi-Fi protegida y dependiendo de la configuración de la red, manipular los datos de la comunicación. Entre los sistemas afectados se encuentran móviles, ordenadores y demás clientes Wi-Fi.

En este enlace podéis encontrar información de los fabricantes afectados y de los parches de actualización correspondientes según van publicándose.

Más información en la siguiente alerta:

Usuarios de equipos Microsoft Windows están reportando que la nueva actualización liberada por Microsoft, concretamente KB4041676 para Windows 10 Creators Update, está causando que sus equipos se bloqueen y dejen de responder mostrando un pantallazo azul. 

El problema afecta principalmente a equipos disponen de soporte para USB-C, aun cuando no dispongan del puerto. 

Actualmente se está distribuyendo de forma masiva una campaña de correos maliciosos que suplantan a la entidad bancaria Bankia.

Pàgines