Blog de diciembre, 2022

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa del lanzamiento de actualizaciones para abordar múltiples vulnerabilidades críticas en Samba que pueden explotarse para tomar el control de los sistemas afectados.  

Detalle 


Samba ha lanzado el pasado 15 de diciembre actualizaciones de software para remediar múltiples vulnerabilidades críticas, rastreadas como CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 y CVE-2022-45141 que, si se explotan con éxito, podrían permitir que un atacante tome el control de los sistemas afectados.

A continuación, se incluye una breve descripción de cada una de ellas:

  • CVE-2022-38023(puntuación CVSS: 9,8): La más grave de todas. La protección “RC4” del canal NetLogon Secure utiliza los mismos algoritmos que la criptografía RC4-HMAC en Kerberos, por lo que también se debe suponer que es débil.
  • CVE-2022-37966(CVSS: 8.1): Elevación de privilegios en Windows Kerberos RC4-HMAC.
  • CVE-2022-37967(CVSS: 7.2): Al igual que la anterior, elevación de privilegios en Windows Kerberos.
  • CVE-2022-45141(CVSS: 8,1): Los DC de Active Directory de Samba vulnerables emitirán tickets cifrados rc4-hmac a pesar de que el servidor de destino admita un mejor cifrado (p. ej., aes256-cts-hmac-sha1-96).

Según hemos corroborado con los medios de detección disponibles, estas vulnerabilidades se encuentran presentes en un número de sistemas muy elevado en nuestra organización, por lo que, debido al riesgo potencial que presentan, llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas tan pronto como sea posible.

Recursos Afectados


  • Todas las versiones de Samba anteriores a 4.15.13, 4.16.8 y 4.17.4.

Recomendaciones Actualizadas (21/12/2022)


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:

Mitigación

1º. Solución a las vulnerabilidades:

Será necesario actualizar las versiones afectadas lo antes posible, tal como se muestra a continuación:

  • Si utiliza la versión 4.15, actualice a versión 4.15.13
  • Si utiliza la versión 4.16, actualice a versión 4.16.8
  • Si utiliza la versión 4.17, actualice a versión 4.17.4

Si no pueden actualizar, algunos de los errores mencionados anteriormente pueden mitigarse con cambios de configuración, aunque algunos de ellos desactivan funciones de las que podría depender la red, lo que impediría utilizar esas soluciones concretas.

2º. Workaround a las vulnerabilidades:

En los siguientes enlaces, puede encontrarse el workaround específico para cada vulnerabilidad:

                                   

Referencias



Para cualquier duda o consulta al respecto, puede ponerse en contacto con nuestro equipo en ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de que han sido liberados los parches de seguridad mensuales de Microsoft Windows de diciembre que corrigen, entre otras, 6 vulnerabilidades críticas, incluidas 2 de día cero conocidas, una de las cuales estaba siendo explotada activamente.

Asimismo, en el apartado correspondiente en este comunicado, se informa del calendario del despliegue desde Altiris de estos parches para puestos de usuarios.

Respecto a los servidores afectados, se ruega a sus responsables la máxima diligencia en su resolución, debido al riesgo potencial que presentan estas vulnerabilidades.

Detalle 


Microsoft ha lanzado su nueva ronda de actualizaciones para Windows en su boletín mensual de diciembre, corrigiendo 79 vulnerabilidades, 6 de ellas clasificadas como críticas (dos son de Día Cero o 0-day), ya que, alternativa o conjuntamente, permiten la elevación de privilegios del sistema, la suplantación de identidad o la ejecución remota de código

Entre las vulnerabilidades que resuelven las actualizaciones, habría que destacar las siguientes críticas de día cero:

  • CVE-2022-44698: Vulnerabilidad de omisión de características de seguridad SmartScreen en Windows, en la que un atacante puede crear un archivo malicioso que evadiría las defensas de la Marca de la Web (MOTW), lo que resulta en una pérdida limitada de integridad y disponibilidad de características de seguridad como Vista protegida en Microsoft Office, que dependen del etiquetado MOTW.

Los ciberdelincuentes vinculados al grupo de ransomware Magniber han explotado la vulnerabilidad de omisión de la función de seguridad en los ataques de extorsión y robo de datos.

  • CVE-2022-44710: Vulnerabilidad de elevación de privilegios en el kernel de gráficos DirectX que podría ser aprovechado por un atacante para obtener privilegios de SYSTEM en un sistema comprometido.

Para un mayor conocimiento del resto de fallos de seguridad que arreglan estos parches, puede consultarse el boletín de la compañía.

Asimismo, debido al riesgo potencial que presentan estas vulnerabilidades, llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas tan pronto como sea posible.

Sistemas Afectados


  • Windows 7.
  • Windows 8.1
  • Windows 10
  • Windows 11.
  • Windows Server 2008 y 2008 R2.
  • Windows Server 2012 y 2012 R2.
  • Windows Server 2016.
  • Windows Server 2019.
  • Windows Server 2022.

Recomendaciones Actualizadas (19/12/2022)


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:

Mitigación

1º. Solución a las vulnerabilidades:

Será necesario implementar los parches liberados lo antes posible.


Despliegue de Parches desde Altiris para Equipos de Usuarios. Calendario.


El despliegue de los parches de seguridad de los equipos de usuario se realizará desde Altiris de manera escalonada, por anillos, atendiendo al siguiente calendario:

  • Anillo 1: 20 de diciembre
  • Anillo 2: 27 de diciembre
  • Anillo 3: 3 de enero

Desde el punto de vista del impacto en los usuarios, esta actualización, una vez instalada, informará al usuario que debe reiniciar el equipo.                                                                    

Referencias



Para cualquier duda o consulta al respecto, puede ponerse en contacto con nuestro equipo en ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el CCN-CERT, del Centro Criptológico Nacional, alerta de la publicación de una vulnerabilidad crítica que afecta a los firewalls FortiGate, que podría permitir a un atacante no autenticado la ejecución remota de código arbitrario o comandos mediante determinadas peticiones.

Detalle 


Fortinet ha publicado un comunicado en el que advierte de un fallo crítico de seguridad en FortiOS SSL-VPN que puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente.

El fabricante ha admitido que esta vulnerabilidad de desbordamiento de búfer crítica, identificada como CVE-2022-42475 y que recibió una puntuación CVSSv3 de 9,3 sobre 10, está siendo activamente explotada y recomienda validar inmediatamente los sistemas contra los siguientes indicadores de compromiso que facilitan en su sitio web:

  • Múltiples entradas de registro con:
    • Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
  • Presencia de los siguientes artefactos en el sistema de archivos:
    • /data/lib/libips[.]bak
    • /data/lib/libgif[.]so
    • /data/lib/libiptcp[.]so
    • /data/lib/libipudp[.]so
    • /data/lib/libjepg[.]so
    • /var/[.]sslvpnconfigbk
    • /data/etc/wxd[.]conf
    • /flash
  • Conexiones a direcciones IP sospechosas desde FortiGate:
    • 188[.]34.130[.]40:444
    • 103[.]131.189[.]143:30080,30081,30443,20443
    • 192[.]36.119[.]61:8443,444
    • 172[.]247[.]168.153:8033

De acuerdo con la información publicada, se trata de un escenario de riesgo, por lo que se ruega se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a esta vulnerabilidad.

Recursos Afectados


El problema afecta a las siguientes versiones:

  • FortiOS versión 7.0.0 a 7.0.8
  • FortiOS versión 6.4.0 a 6.4.10
  • FortiOS versión 6.2.0 a 6.2.11
  • FortiOS versión 6.0.0 a 6.0.15
  • FortiOS versión 5.6.0 a 5.6.14
  • FortiOS versión 5.4.0 a 5.4.13
  • FortiOS versión 5.2.0 a 5.2.15
  • FortiOS versión 5.0.0 a 5.0.14
  • FortiOS-6K7K versión 7.0.0 a 7.0.7
  • FortiOS-6K7K versión 6.4.0 a 6.4.9
  • FortiOS-6K7K versión 6.2.0 a 6.2.11
  • FortiOS-6K7K versión 6.0.0 a 6.0.14

Recomendaciones Actualizadas (14/12/2022)


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:

Mitigación

1º. Solución a la vulnerabilidad:

  • Actualizar los dispositivos vulnerables a las siguientes versiones de FortiOS: 7.2.3, 7.0.9, 6.4.11, 6.2.12 o superiores y a las siguientes versiones de FortiOS-6K7K: 7.0.8, 6.4.10, 6.2.12 y 6.0.15 o superiores.

2º. Workaround  de la vulnerabilidad:

  • La empresa también proporciona una solución alternativa para aquellos que no pueden implementar actualizaciones de seguridad de inmediato que consiste en que se deshabilite SSL-VPN.


Referencias


                                                                                                 


En caso de haber detectado la explotación de esta vulnerabilidad :

debe reportar el incidente  mediante correo electrónico a ayudadigital.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso Fortigate1222]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de diversas vulnerabilidades críticas que afectan, por un lado, a Citrix ADC y dispositivos Citrix Gateway y, por otro, a productos VMware que deben ser atendidas con especial prontitud.  

Vulnerabilidad crítica en Citrix ADC y dispositivos Citrix Gateway


Detalle

Citrix ha reportado una vulnerabilidad 0day de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en los dispositivos vulnerables. Se ha asignado el identificador CVE-2022-27518 para esta vulnerabilidad.

El fabricante ha proporcionado los siguientes comandos para determinar si los sistemas son vulnerables o no. Este aspecto radica en determinar si los sistemas Citrix ADC y Gateway han sido configurados como SAML SP o SAML IdP:

  • add authentication samlAction
  • add authentication samlIdPProfile

Recursos Afectados

  • Citrix ADC 12.0 versiones anteriores a 12.1-65.25
  • Citrix Gateway 13.0 versiones anteriores a 13.0-58.32
  • Citrix Gateway 12.0 versiones anteriores a 12.1-65.25
  • Citrix ADC 12.1-FIPS versiones anteriores a 12.1-55.291
  • Citrix ADC 12.1-NDcPP versiones anteriores a 12.1-55.291

Mitigación

1º. Solución a las vulnerabilidades:

  • Actualizar inmediatamente a la última versión disponible en cada caso:
    • Citrix ADC Citrix Gateway:  A la versión Citrix ADC 13.1 y Citrix Gateway 13.1.
    • Citrix ADC 12.0 Citrix Gateway 12.0: A la versión 12.1.65.25.
    • Citrix ADC FIPS Citrix ADC NDcPP: A a la versión 12.1-55.291 o posteriores.

Vulnerabilidades críticas en productos VMware


Detalle

Se han identificado 9 vulnerabilidades en varios productos de VMware: 2 de severidad crítica, 3 altas y 4 medias. Destacamos principalmente dos vulnerabilidades críticas, que se describen a continuación:

  • CVE-2022-31702 (CVSSv3: 9.8): La vulnerabilidad permite a un atacante remoto ejecutar comandos de shell arbitrarios en el sistema de destino y existe debido a una validación de entrada inadecuada en la API REST de vRealize Network Insight (vRNI). 

Recursos afectados

    • vRealize Network Insight vRNI

Para mayor conocimiento, se recomienda revisar el siguiente aviso publicado por el fabricante: VMSA-2022-0031 (vmware.com)


  • CVE-2022-31705: Un atacante con privilegios administrativos en local podría explotar esta vulnerabilidad y ejecutar código en el host. CVSSv3: 9.3.

Recursos afectados

    • VMware ESXi
    • VMware Workstation Pro / Player (Workstation)
    • VMware Fusion Pro / Fusion (Fusion)
    • VMware Cloud Foundation

Se recomienda revisar este otro aviso de seguridad del fabricante para ampliar información: VMSA-2022-0033 (vmware.com)


Para el resto de vulnerabilidades, se pueden consultar los identifcadores CVE en los avisos del fabricante VMSA-2022-0030 (vmware.com) y VMSA-2022-0032 (vmware.com)

Mitigación

1º. Solución a las vulnerabilidades:

  • Instalar las actualizaciones indicadas en la columna Fixed Version o, en caso de no estar disponibles, aplicar las medidas descritas en la columna Workarounds de las tablas Response Matrix descritas en cada aviso.




Debido a la criticidad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.


Referencias



En caso de haber detectado la explotación de estas vulnerabilidades :

debe reportar el incidente  mediante correo electrónico a ayudadigital.sspa@juntadeandalucia.es indicando en el  Asunto lo siguiente:

Para Citrix: [Compromiso Citrix1512]

Para VMware: [Compromiso VMware1512]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones informa de la publicación del cuarto capítulo del programa de sensibilización y concienciación en ciberseguridad, dirigido a todos los profesionales de la STIC.

En este episodio, nos centraremos en conocer a la Unidad de Seguridad que, junto a la estructura jerárquica de Comités vistos en el anterior capítulo, completa la Organización de la Seguridad TIC en el Servicio Andaluz de Salud. Además, veremos otros órganos de seguridad externos que ayudan a la USTIC. 

Podéis consultarlo en el siguiente enlace: Capítulo 4. Organización de la Seguridad TIC en el SAS: La Unidad de Seguridad



Para cualquier consulta o sugerencia respecto a este programa de concienciación, podéis contactar con ustic.stic.sspa@juntadeandalucia.es.

Gracias por vuestra atención,


Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud