Boletín de Ciberseguridad, 20 - 26 abril
Parcheada una vulnerabilidad crítica en Chrome
El canal estable y el canal extendido de Chrome 124 fueron actualizados a la versión 124.0.6367.78/.79 para Mac y Windows, 124.0.6367.78 para Linux. Esta actualización de seguridad incluye la corrección de un total de 4 vulnerabilidades, entre las que destaca la CVE-2024-4058 (sin CVSSv3 aún, pero considerada crítica por el fabricante), un error de confusión de tipos en el motor de gráficos ANGLE que podría permitir a un atacante remoto la ejecución de código arbitrario.
Google ha recompensado con el pago de 16 000 dólares a los investigadores que han descubierto la vulnerabilidad. Además, se han parcheado las vulnerabilidades, ambas sin CVSSv3 aún pero consideradas altas por el proveedor, CVE-2024-4059 y CVE-2024-4060.
Campaña maliciosa explotando 0-days en modelos de firewall
El equipo de investigadores de Cisco publicó una investigación en la que señalan haber descubierto una campaña, denominada ArcaneDoor, dedicada a la explotación de dos vulnerabilidades 0-day que afectan a los firewalls Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD). Según los expertos, detrás de esta campaña estaría un actor amenaza estatal denominado UAT4356, también conocido como STORM-1849, que llevaría atacando desde noviembre de 2023 a redes gubernamentales en todo el mundo.
Cisco no ha logrado identificar el vector de entrada, aunque ha lanzado parches para corregir dos 0-day registradas como CVE-2024-20353, CVSSv3 de 8.6 según fabricante, y CVE-2024-20359, CVSSv3 de 6.0 según fabricante, ya que han sido utilizadas por UAT4356 en su campaña. Cabe destacar que el aprovechamiento de estas vulnerabilidades podría permitir la condición de denegación de servicio, así como la ejecución de código local, lo que posibilitó la implementación de nuevos malware en las redes de sus víctimas. En base a estos hechos, Cisco recomienda aplicar los parches de seguridad.
Expuestas vulnerabilidades "MagicDot" en Windows
En la conferencia Black Hat Asia de Singapur, un investigador de SafeBreach, Or Yair, publicó diferentes vulnerabilidades en la conversión de rutas de DOS a NT en Windows a las que se ha bautizado como MagicDot. Explotándolas, los atacantes esconden y manipulan archivos y procesos, ofreciendo capacidades similares a las de un rootkit sin necesidad de privilegios administrativos. Durante la conversión de las rutas, Windows elimina automáticamente los puntos y espacios adicionales, permitiendo crear rutas NT específicas para ocultar acciones maliciosas.
Entre las vulnerabilidades identificadas, destaca, entre otros problemas que ya han sido en su mayoría parcheados por Microsoft, una de ejecución de código remoto (CVE-2023-36396, CVSSv3 7.8 según fabricante) que se activa al extraer un archivo comprimido. Se recomienda optar por las rutas NT sobre las DOS para mitigar estos riesgos y desarrollar técnicas para detectar manipulaciones sospechosas en las rutas de archivos, como puntos y espacios al final, dado que el problema subyacente de la autoeliminación de caracteres y la posibilidad de futuras explotaciones similares sigue existiendo.
Vulnerabilidad en Citrix uberAgent que permite una escalada de privilegios
Cloud Software Group informó recientemente acerca de una vulnerabilidad crítica en su producto Citrix uberAgent, que puede provocar una escalada de privilegios del atacante. Identificada como CVE-2024-3902 y con una puntuación CVSSv3 de 7.3 según fabricante, afecta a todas las versiones anteriores a 7.1.2. La falla se debe a configuraciones inadecuadas que permiten manipular los privilegios del usuario. Además, requiere condiciones específicas para ser explotada, incluyendo ciertas métricas, configuraciones de WmiProvider y al menos una entrada [CitrixADC_Config] establecida.
Para mitigar el riesgo, Citrix recomienda deshabilitar todas las métricas de CitrixADC eliminando ciertas propiedades del temporizador especificadas, eliminar todas las entradas [CitrixADC_Config] y, para las versiones 7.0 a 7.1.1, asegurarse de que WmiProvider no esté configurado o establecido en WMIC. Asimismo, la compañía insta encarecidamente a los usuarios a actualizar a la versión 7.1.2 lo antes posible.
MITRE fue atacado explotando dos vulnerabilidades en Ivanti
MITRE Corporation ha compartido los primeros hallazgos de la investigación que está realizando para aclarar el ciberataque que sufrió en enero. La evidencia muestra que el acceso del actor de la amenaza a MITRE Nerve, el entorno de virtualización, investigación e experimentación, se realizó a través de la explotación encadenada de las vulnerabilidades CVE-2023-46805 (CVSSv3 8.2) y CVE-2024-21887 (CVSSv3 9.1) en productos Ivanti Connect Secure.
MITRE afirma que el responsable del incidente fue un grupo respaldado por un gobierno extranjero sin detallar quién o qué país podría estar detrás del ataque.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
