Inicio / Content / Boletín de INCIBE-CERT del 26-03-2021

Boletín de INCIBE-CERT del 26-03-2021

[Actualización 31/03/2021] Múltiples vulnerabilidades en OpenSSL

Fecha de publicación: 
26/03/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • OpenSSL 1.1.1h y versiones posteriores están afectadas por la vulnerabilidad CVE-2021-3450;
  • todas las versiones de OpenSSL 1.1.1 están afectadas por la vulnerabilidad CVE-2021-3449.

NOTA: las versiones 1.0.2 y 1.1.0 ya no reciben soporte ni actualizaciones, por lo que los usuarios deben actualizar a la versión 1.1.1.

[Actualización 30/03/2021]

  • Cisco Container Platform,
  • Cisco SD-WAN vEdge 1000 Series Routers,
  • Cisco SD-WAN vEdge 2000 Series Routers,
  • Cisco SD-WAN vEdge 5000 Series Routers,
  • Cisco SD-WAN vEdge Cloud Router Platform,
  • Cisco UCS Standalone C-Series Rack Server - Integrated Management Controller,
  • Cisco IP Conference Phone 7832,
  • Cisco IP Conference Phone 8832,
  • Cisco Meeting Management.

[Actualización 31/03/2021]

  • Cisco Identity Services Engine (ISE),
  • Cisco Threat Grid Appliance M5,
  • Cisco Business Process Automation,
  • Cisco Evolved Programmable Network Manager,
  • Cisco Managed Services Accelerator,
  • Cisco UCS B-Series Blade Servers,
  • Cisco IP Phone 6800 Series,
  • Cisco IP Phone 7800 Series,
  • Cisco IP Phone 8800 Series,
  • Cisco IP Phone 8845,
  • Cisco IP Phone 8865,  
  • Cisco Video Surveillance Media Server,
  • Cisco Webex Room Phone, Cisco Webex Share.

Cisco continúa evaluando la afectación en otros productos de su portfolio, para conocer el detalle visite el aviso disponible en su página web.

Descripción: 

Investigadores, de Akamai y Nokia, reportaron a OpenSSL 2 vulnerabilidades, ambas con severidad alta, de tipo denegación de servicio (DoS) y validación inadecuada del certificado de la Autoridad de Certificación (CA).

Solución: 

Actualizar OpenSSL a la versión 1.1.1k.

Detalle: 
  • Esta vulnerabilidad podría permitir eludir por completo la verificación de un certificado, al no comprobar correctamente la validez de los certificados. Solo afecta si se ha activado el flag X509_V_FLAG_X509_STRICT (no está activo por defecto). Se ha asignado el identificador CVE-2021-3450 para esta vulnerabilidad.
  • Un servidor TLS de OpenSSL podría fallar si se le envía un mensaje de renegociación ClientHello de un cliente, lo que generaría una condición de DoS. Un servidor sólo es vulnerable si tiene TLSv1.2 y la renegociación activada (configuración por defecto). Los clientes TLS de OpenSSL no se ven afectados por este problema. Se ha asignado el identificador CVE-2021-3449 para esta vulnerabilidad.

Encuesta valoración

[Actualización 13/04/2021] Actualización fuera de ciclo de Microsoft Exchange Server

Fecha de publicación: 
03/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Microsoft Exchange Server 2013,
  • Microsoft Exchange Server 2016,
  • Microsoft Exchange Server 2019.
Descripción: 

Microsoft ha publicado actualizaciones de seguridad fuera del ciclo mensual habitual, para solucionar varias vulnerabilidades que afectan a Microsoft Exchange Server. Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial.

La empresa ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente.

Solución: 

Microsoft ha publicado las siguientes actualizaciones de seguridad:

Además, recomienda instalar estas actualizaciones de manera inmediata.

Igualmente, ha compartido los indicadores de compromiso (IOC) para poder verificar si sus sistemas se han visto afectados por este ataque.

[Actualización 08/03/2021]: Microsoft ha publicado una serie de medidas de mitigación para aquellos que no puedan instalar las actualizaciones de manera inmediata. Para consultar el detalle de estas medidas puede consultar el siguiente enlace. Asimismo, el CISA también ha publicado su propio aviso.

[Actualización 17/03/2021]: Microsoft ha publicado una herramienta "one-click mitigation tool", que también cuenta con la ultima versión del Microsoft Safety Scanner, y que permite mitigar automáticamente la vulnerabilidad CVE-2021-26855 en cualquier Exchange server de la forma más rápida y fácil posible, antes de aplicar la actualización. Microsoft recomienda descargar y ejecutar esta herramienta a todos aquellos que aun no hayan aplicado la actualización de seguridad correspondiente.

[Actualización 13/04/2021]: el CISA ha añadido 2 nuevos Malware Analysis Reports (MARs) a la alerta AA21-062A:

Detalle: 

Microsoft ha informado de la existencia de varias vulnerabilidades, que en su conjunto podrían comprometer un equipo con Microsoft Exchange Server. Los identificadores de estas vulnerabilidades son: CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, y CVE-2021-26855.

El vector inicial del ataque se establece a través de una conexión no confiable con el puerto 443 del servidor Exchange, pero el bloqueo de estas conexiones solo protege de una parte inicial del ataque. No obstante, otros vectores pueden activarse si un atacante ya tiene acceso.

Microsoft ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente por un grupo identificado como HAFNIUM.

[Actualización 15/03/2021] CISA ha publicado 7 reportes de análisis de malware (MARs) a su alerta AA21-062A. Cada MAR identifica un webshell asociado a la explotación de las vulnerabilidades en los productos de Microsoft Exchange Server.

[Actualización 26/03/2021] CISA ha publicado 2 nuevos reportes de análisis de malware (MARs) a su alerta AA21-062A, identificando un total de 9 webshells asociados a la explotación de las vulnerabilidades.

Encuesta valoración

[Actualización 26/03/2021] Múltiples vulnerabilidades en Cisco Jabber

Fecha de publicación: 
25/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Cisco Jabber para Windows, versiones:
    • 12.1 y anteriores;
    • 12.5;
    • 12.6;
    • 12.7;
    • 12.8;
    • 12.9.
  • Cisco Jabber para MacOS, versiones:
    • 12.7 y anteriores;
    • 12.8;
    • 12.9.
  • Cisco Jabber para Android e iOS, versiones 12.9 y anteriores.
  • [Actualización 26/03/2021] Cisco Jabber para BlackBerry y para Intune MAM, versión 12.9.
Descripción: 

Cisco ha publicado 5 vulnerabilidades, 1 de severidad crítica, 1 alta y 3 medias, que podrían permitir a un atacante ejecutar programas arbitrarios con privilegios elevados, acceder a información sensible, interceptar el tráfico de red protegido o provocar una condición de denegación de servicio (DoS).

Solución: 

Actualizar las versiones afectadas a las siguientes versiones corregidas:

  • Cisco Jabber para Windows:
    • anteriores a 12.1: actualizar a una versión corregida;
    • 12.1: actualizar a 12.1.5;
    • 12.5: actualizar a 12.5.4;
    • 12.6: actualizar a 12.6.5;
    • 12.7: actualizar a 12.7.4;
    • 12.8: actualizar a 12.8.5;
    • 12.9: actualizar a 12.9.5.
  • Cisco Jabber para MacOS:
    • 12.7 y anteriores: actualizar a una versión corregida;
    • 12.8: actualizar a 12.8.7;
    • 12.9: actualizar a 12.9.6.
  • Cisco Jabber para Android e iOS, versiones 12.9 y anteriores: actualizar a una versión corregida.
  • [Actualización 26/03/2021] Cisco Jabber para BlackBerry y para Intune MAM, actualizar a 12.9.1.
Detalle: 
  • Una vulnerabilidad en Cisco Jabber para Windows podría permitir a un atacante, remoto y autenticado, ejecutar código arbitrario en un sistema mediante el envío de mensajes XMPP especialmente diseñados. Se ha asignado el identificador CVE-2021-1411 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-1417, CVE-2021-1418, CVE-2021-1469 y CVE-2021-1471.

Encuesta valoración