Vulnerabilidades en dispositivos NAS de QNAP

Qnap ha informado de varias vulnerabilidades en dispositivos NAS. Se deben a fallos detectados en la implementación del protocolo Netatalk (que sirve para dar servicios de servidor de archivos a dispositivos Macintosh), en ediciones (release) anteriores a la 3.1.13.

Recursos afectados:

Dispositivos NAS de QNAP con versiones:

• QTS 5.0.x y posteriores
• QTS 4.5.4 y posteriores
• QTS 4.3.6 y posteriores
• QTS 4.3.4 y posteriores
• QTS 4.3.3 y posteriores
• QTS 4.2.6 y posteriores
• QuTS hero h5.0.x y posteriores
• QuTS hero h4.5.4 y posteriores
• QuTScloud c5.0.x

Solución:

Se han corregido las vulnerabilidades en las siguientes versiones del S.O. QTS 4.5.4.2012 build 20220419 y posteriores.

QNAP ha anunciado que publicará actualizaciones de seguridad para el resto de versiones afectadas y proporcionará más información tan pronto como sea posible.

Campaña de malware EMOTET

Se ha detectado un repunte del malware Emotet, un tipo de troyano que se propaga a través del envío de correos fraudulentos. El objetivo es que el receptor abra los archivos adjuntos del correo electrónico y descargue e instale un adjunto malicioso, o acceda a un enlace no confiable donde descargar el malware, para finalmente pasar a formar parte de la botnet Emotet.

Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones para eliminar el malware. También es recomendable que desconectes el equipo de la red principal de la empresa para evitar que otros dispositivos puedan verse infectados.

Vulnerabilidades DoS en Cisco

Se han solucionado varias vulnerabilidades de severidad alta en productos Cisco, que permitirían a un ciberdelincuente generar condiciones de denegación de servicio (DoS).

Recursos afectados:

• Dispositivos con versiones Cisco IOS XE previas a la 17.3.1 que tengan habilitada la funcionalidad NETCONF sobre SSH (esta funcionalidad no está habilitada por defecto).
• Dispositivos con versiones de Cisco IOS y Cisco IOS XE, entre la 3SE y 3E, que tengan la funcionalidad HTTP habilitada.
• Cisco 1000 Series Connected Grid Router (CGR1K), que tengan integrado y habilitado el punto de acceso inalámbrico.
• Conmutadores de la serie Cisco Catalyst Digital Building y micro conmutadores Cisco Catalyst con el Boot Loader en la versión 15.2(7r) E2:
  • Conmutadores de la serie Catalyst Digital Building versiones 15.2(5)EX y 15.2(7)E y anteriores, con identificador de producto (PID) CDB-8P y CDB-8U.
  • Micro conmutadores Catalyst versiones 15.2(7)E y anteriores y 15.2(8)E con PID CMICR-4PS y CMICR-4PC.
• Dispositivos con Cisco IOS XE que tengan habilitada la funcionalidad AppNav-XE (esta funcionalidad está deshabilitada por defecto):
  • 1000 Series Integrated Services Routers
  • 4000 Series Integrated Services Routers
  • ASR 1001-X Routers
  • ASR 1002-X Routers
  • Catalyst 8300 Series Routers
  • Catalyst 8500 Series Routers
  • Catalyst 8000V Edge Software
  • Cloud Services Router 1000V Series

Solución:

Cisco ha publicado actualizaciones de software gratuitas que abordan estas vulnerabilidades para los clientes que tengan licencias de estos productos.

Vulnerabilidad zero-day en Java Spring

El CCN-CERT ha alertado de una vulnerabilidad crítica, de tipo zero-day, en el framework Spring Core Java, la plataforma de código abierto que proporciona soporte de infraestructura integral para desarrollar aplicaciones Java.

En determinadas circunstancias, el fallo permitiría a un atacante ejecutar código arbitrario de forma remota (RCE).

No obstante, lo más preocupante ha sido la filtración de un exploit para aprovechar esta vulnerabilidad. Aunque fue eliminado a las pocas horas, algunos investigadores pudieron descargar el código y realizar las pertinentes pruebas, confirmando que la vulnerabilidad es explotable.

Además, se ha notificado otra vulnerabilidad de criticidad media (CVE-2022-22963) que afecta a Spring Cloud Function. Este fallo permitiría a atacante ejecutar comandos de forma remota.

Recursos afectados:

Aunque en un principio se determinó que la vulnerabilidad afectaría a todas las aplicaciones de Spring que se ejecutan en Java 9 o superior, después se informó de que existen requisitos específicos que se deben cumplir para que una aplicación de Spring sea vulnerable.

En cuanto a la vulnerabilidad CVE-2022-22963, sólo se ve afectado el enrutamiento dinámico de algunas configuraciones específicas de las siguientes versiones:

• Spring Cloud Function desde la versión 3 hasta la versión 3.2.2 (ambas incluidas).

Solución:

En las últimas horas se ha publicado un parche que aborda la vulnerabilidad CVE-2022-22965. Además, el blog de Praetorian describe una forma de mitigar parcialmente los ataques a la vulnerabilidad Spring4Shell (CVE-2022-22965) al no permitir que se pasen patrones específicos a la funcionalidad Spring Core DataBinder.

Para la vulnerabilidad CVE-2022-22963 se debe actualizar la aplicación a la versión más reciente disponible: Spring Cloud Function 3.2.3.

by