Boletín de Ciberseguridad, 5 – 9 de junio

9 de junio de 2023

Barracuda advierte acerca del reemplazo inmediato de los dispositivos ESG vulnerados

La empresa de seguridad Barracuda emitió una advertencia en la cual está instando a las organizaciones afectadas por la vulnerabilidad 0-day (CVE-2023-2868) en sus dispositivos Email Security Gateway (ESG) a reemplazarlos completamente.

A pesar de que ya ha sido parcheada y el acceso de los atacantes a los dispositivos comprometidos fue eliminado, la recomendación de la compañía es el reemplazo inmediato de los dispositivos afectados, sin importar la versión del parche instalado. El alcance exacto del incidente aún es desconocido.

La vulnerabilidad, que ha sido explotada durante al menos siete meses permite la inyección remota de código en los archivos adjuntos de los correos electrónicos entrantes, instalar malware personalizado, cargar o descargar archivos, ejecutar comandos, establecer persistencia y establecer shells inversos en un servidor controlado por un actor malicioso.

Los usuarios afectados ya han sido notificados a través de la interfaz de usuario de ESG. Barracuda insiste a las organizaciones que aún no hayan reemplazado sus dispositivos a que se pongan en contacto con el soporte urgentemente por correo electrónico.

Más info

Advisory conjunto de la CISA y el FBI sobre el ransomware CLOP

Como parte de la campaña #StopRansomware, CISA y FBI han publicado de forma conjunta una alerta en la que se incluyen nuevas tácticas, técnicas y procedimientos (TTPs) e indicadores de compromiso (IOCs) asociados al ransomware CLOP.

La nota destaca la explotación que el grupo está haciendo de CVE-2023-34362, vulnerabilidad 0-day en MOVEit Transfer, para ejecutar en las víctimas una webshell llamada LEMURLOOT con la que robar datos.

Por otra parte, CLOP, a través de un comunicado en su web de la red TOR, reconoció que gracias a esta vulnerabilidad ha comprometido a cientos de empresas y que da a los afectados de plazo hasta el 14 de junio para contactarles y comenzar la negociación del rescate. Si no llegan a un acuerdo pasadas 72 horas una vez iniciada la negociación, publicarán los datos.

Asimismo, cabe indicar que los investigadores de Kroll descubrieron evidencias de actividad similar en registros de clientes afectados en el pasado, indicando que los actores de amenazas estaban probando el acceso y extracción de datos en servidores MOVEit Transfer comprometidos desde al menos 2021.

Más info

Vulnerabilidades críticas en productos Cisco

La compañía Cisco ha emitido varios avisos de seguridad para corregir hasta un total de 8 vulnerabilidades, siendo 2 de estas catalogadas como críticas, 3 con riesgo alto y otras 3 clasificadas como medio.

De entre los fallos de seguridad de mayor criticidad cabe indicar que afectan a los productos Cisco Expressway Series y Cisco TelePresence Video Communication Server habiendo sido registrados como CVE-2023-20105 y CVE-2023-20192. Con respecto a la primera de las vulnerabilidades indicadas, esta deriva del manejo incorrecto de las solicitudes de cambio de contraseña, lo que permitiría a un atacante alterar las contraseñas de cualquier usuario en el sistema. Con respecto a la segunda, podría permitir a un atacante local autenticado ejecutar comandos y modificar los parámetros de configuración del sistema.

Desde Cisco señalan que no hay evidencias de que estas vulnerabilidades hayan sido aprovechadas, no obstante, recomiendan a los usuarios actualizar los activos lo antes posible para mitigar estos fallos de seguridad.

Más info

Nueva actualización de seguridad en Chrome

Google ha emitido una actualización de seguridad de su navegador Chrome en la que aborda 2 actualizaciones de seguridad, siendo una de ellas catalogada de alta criticidad.

En concreto, este fallo de seguridad ha sido identificado por el investigador de seguridad Clément Lecigne el pasado 1 de junio de 2023, siendo registrado como CVE-2023-3079, y aún pendiente de CVSS.

Se trata de una vulnerabilidad en V8 que permitiría a un atacante remoto crear una página HTML que desencadene en una escalada de privilegios y ejecutar código arbitrario. Asimismo, cabe destacar que Google ha señalado de que es consciente de que existe un exploit para esta vulnerabilidad.

En último lugar, cabe indicar que este fallo de seguridad se corrige con la actualización en las versiones 114.0.5735.106 en dispositivos Mac y Linux y 114.0.5735.110 para Windows.

Más info

Foto principal: rawpixel.com en Freepik.