Descubierto nuevo malware utilizado para atacar a Ucrania
Se ha descubierto un nuevo malware de tipo “wiper” denominado «HermeticWiper» (también conocido como KillDisk.NCV), que ha sido instalado en cientos de máquinas de Ucrania, tras una fuerte campaña de ciberataques contra organismos y entidades del país. Su principal objetivo es la destrucción de activos. La propagación de este código dañino se ha efectuado mientras se lanzaban en paralelo ataques de DDoS contra varios sitios web ucranianos. Este malware se suma a otro “wiper”, conocido como WhisperGate, que a mediados de enero también se extendió en el país.
Aunque no hay evidencia de ataques fuera de Ucrania, desde Secure&IT hemos comprobado que el malware es bloqueado por Bitdefender y otros antivirus. Además, ya se han generado las correspondientes alertas en BigSIEM con lo que, de producirse, se identificarían ataques provenientes de Rusia o Bielorusia (o muestras de este malware) en nuestros clientes.
Vulnerabilidades en dispositivos CISCO
Se han notificado dos vulnerabilidades de severidad alta que afectan a varios productos de Cisco. El fallo permitiría a un atacante remoto ejecutar comandos con privilegios de root o generar una condición de denegación de servicio (DoS).
Recursos afectados:
Están afectados los siguientes dispositivos Cisco que ejecuten una versión vulnerable de Cisco NX-OS:
- Nexus 3000 Series Switches
- UCS 6400 Series Fabric Interconnects
Solución:
En el caso de la vulnerabilidad de ejecución remota de comandos arbitrarios (dispositivos Cisco Nexus 3000 Series Switches) es necesario actualizar estas versiones:
- En Versiones 7.0(3)I7(10) hay que aplicar la actualización nxos.CSCvz80191-n9k_ALL-1.0.0-7.0.3.I7.10.lib32_n9000.rpm
- Versiones 9.3(8) hay que aplicar la actualización nxos.CSCvz80191-n9k_ALL-1.0.0-9.3.8.lib32_n9000.rpm
En el caso de la vulnerabilidad de denegación de servicios, las recomendaciones son las siguientes:
- Cisco Nexus 3000 Series Switches, actualizar Cisco NX-OS a una de las siguientes versiones:
- Versiones 7.0(3)I7(10), aplicar la actualización nxos.CSCvy95696-n9k_ALL-1.0.0-7.0.3.I7.10.lib32_n9000.rpm
- Versiones 9.3(8), aplicar la actualización CSCvy95696-n9k_ALL-1.0.0-9.3.8.lib32_n9000.rpm
- UCS 6400 Series Fabric Interconnects, actualizar a una de las siguientes versiones:
- 0, migrar a una versión parcheada
- 1, actualizar a la versión 4.1(3h)
- 2, actualizar a la versión 4.2(1L), la versión 4.2(1K) también soluciona la vulnerabilidad
Vulnerabilidades en SAP
Se ha alertado de varias vulnerabilidades en productos SAP, seis de ellas calificadas como críticas. Cuatro de los fallos hacen referencia a actualizaciones sobre CVE-2021-44228, la vulnerabilidad de Log4j de la que ya se realizó un informe detallado el pasado mes de diciembre, y otros CVE relacionados con ella (CVE-2021-45046, CVE-2021-45105, CVE-2021-44832). Otra de las vulnerabilidades (CVE-2022-22536) se podría utilizar para comprometer cualquier aplicación Java o ABAP basada en NetWeaver con la configuración por defecto. Y la última permitiría a un atacante con privilegios de administrador explorar archivos y ejecutar código en todos los agentes de diagnóstico a través del a red.
Recursos afectados:
- CVE-2022-22536:
- SAP Web Dispatcher versiones: 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87.
- SAP Content Server versión 7.53.
- SAP NetWeaver and ABAP Platform versiones:
- KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86 y 7.87.
- KRNL64UC 8.04, 7.22, 7.22EXT, 7.49 y 7.53.
- KRNL64NUC 7.22, 7.22EXT y 7.49.
- CVE-2022-22544:
- SAP Solution Manager (Diagnostics Root Cause Analysis Tools) versión 720.
Solución:
SAP ya ha publicado los parches y actualizaciones de cada producto afectado por las vulnerabilidades. Para poder aplicar las correcciones es necesario acceder al portal de soporte de SAP.
Vulnerabilidad crítica en dispositivos NAS de QNAP
QNAP ha reportado una vulnerabilidad crítica en dispositivos NAS. El fallo podría permitir a un atacante ejecutar código arbitrario en el sistema de manera remota. Además, QNAP ha informado de que la vulnerabilidad está siendo explotada de manera activa por el ransomware DeadBolt, que cifra la información del dispositivo, renombra los archivos con la extensión «.deadbolt» y secuestra la página de acceso.
Recursos afectados:
- QTS 5.0.0.1891, compilación 20211221
- QTS 4.5.4.1892, compilación 20211223
- QuTS hero h5.0.0.1892, compilación 20211222
- QuTS hero h4.5.4.1892, compilación 20211223
- QuTScloud c5.0.0.1919, compilación 20220119
Solución:
QNAP recomienda actualizar QTS o QuTS hero a la última versión.
Vulnerabilidad en el software de WhatsApp
WhatsApp ha solucionado una vulnerabilidad que podría permitir a un atacante una lectura fuera de los límites de la pila (head) durante una llamada establecida.
Recursos afectados:
Versiones anteriores a:
- WhatsApp y WhatsApp Business para Android v2.21.23.2
- WhatsApp para iOS v2.21.230.6
- WhatsApp Business para iOS 2.21.230.7
- WhatsApp Desktop v2.2145.0
Solución:
Es necesario actualizar a la última versión de WhatsApp disponible.
Vulnerabilidad en Samba
Se ha alertado de una vulnerabilidad (CVE-2021-44142) en Samba que podría permitir ejecutar código de forma remota. El fallo se ha producido debido a un error de límite al procesar metadatos cuando se abren archivos en smbd dentro del módulo VFS Samba (vfs_fruit). Para que la vulnerabilidad sea efectiva, es necesario que el módulo vfs_fruit esté activado.
Recursos afectados:
- Todas las versiones de Samba anteriores a 4.13.17.
Solución:
Samba ya ha publicado las actualizaciones para solucionar el fallo. Es necesario actualizar lo antes posible a las versiones parcheadas:
- Samba 4.14.12.
- Samba 4.15.5.