globalsecure-cybersecurity

Explotación activa RCE en Citrix ADC y Citrix Gateway (CVE-2022-27518)

Thu, 29 Dec 2022 21:33:24 GMT

Vulnerabilidad Critica permite ejecutar código arbitrario sin autenticar en Citrix ADC y Citrix Gateway.

El 13 de diciembre de 2022 Citrix ha liberado una actualización de seguridad y una publicación en su blog https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway / sobre este fallo (CVE-2022-27518). Sin embargo no fue hace poco tiempo atrás que hubo otra actualización critica de seguridad. https://nvd.nist.gov/vuln/detail/CVE-2022-27510

La explotación activa, el aviso de la NSA y Citrix:

La NSA (Agencia nacional de seguridad de EEUU) ha comentado que el grupo chino APT5 esta activamente explotando esta vulnerabilidad y se ha observado explotación de la vulnerabilidad en compañías "SIN CREDENCIALES". la NSA además adjunto una guía de caza de esta amenaza : https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF

Cantidad de equipos vulnerables:

el día de ayer 28 de diciembre se publicó un gráfico con el detalle de los servidores expuestos actualizados y los que aún les falta actualizar y sin duda que es preocupante la cantidad de equipos vulnerables y de organizaciones que están en riesgo.

Sin embargo la cantidad de equipos Citrix publicados en Shodan y otras plataformas que están publicados hacia internet, sin duda que generan preocupación.

Detalle de la vulnerabilidad:

CVE-2022-27518 es una vulnerabilidad de tipo RCE (ejecución remota de código) que impacta en Citrix ADC y Citrix Gateway cuando están configurados como SAML o SAML identity provider (IdP). Lo que significa que es vulnerable si tiene integración de autentificación de tipo SSO, lo cual es muy común en este tipo de implementaciones debido a Microsoft Active Directory u otras implementaciones de autentificación soportadas.

Que debo hacer?

Actualizar de inmediato o en caso de no poder actualizar, despublicar de internet la plataforma Citrix. Aqui les entregamos una lista de las versiones vulnerables, los parches que aplican según version.

Referencias:

Credenciales por Defecto

Thu, 29 Dec 2022 20:02:18 GMT

El problema de las credenciales por defecto

Ya finalizando alguno de los últimos trabajos de auditoría de ciberseguridad este 2022, una vez más nos encontramos en la revisión en lo que a acceso se refiere:

• muy buenas prácticas: contraseñas robustas, MFA, captchas, etc.

• y otra muy malas: Las credenciales predeterminadas proporcionadas para la autenticación y la configuración iniciales nunca se modificaron.

Este riesgo de seguridad ocupa la posición 7 en el OWASP top ten en su versión 2021 (A07:2021 – Identification and Authentication Failures)

Encontrar listados con credenciales por defecto en internet es muy fácil y rápido (por ejemplo: https://cirt.net/passwords ) sumado a lo fácil que es encontrar sistemas expuestos en internet utilizando SHODAN (por ejemplo: https://www.shodan.io/search?query=iDRAC ), por lo que al encontrar algún formulario de inicio de sesión en la revisión, uno en el papel de atacante, las primeras pruebas manuales que realizamos es intentar ingresar de esta forma.

Cabe mencionar que el sistema en cuestión con las credenciales por defecto era un iDRAC , que una vez dentro nos permitía: ver volúmenes, modificarlos, borrarlos, apagar el sistema, etc. Impactando confidencialidad, integridad y disponibilidad.

GlobalSecure recomienda:

Es importante identificar el software y los sistemas que probablemente utilicen contraseñas predeterminadas. La siguiente lista incluye software, sistemas y servicios que comúnmente usan contraseñas predeterminadas:

Routers, Access point, Switches, Firewall y otros equipos de red
Bases de datos
Aplicaciones web
Dashboards / Administración de servidores
Sistemas de sistemas de control industrial (ICS)
Otros sistemas y dispositivos integrados
Interfaces de terminales remotas como Telnet y SSH
Interfaces web administrativas

Ejecutar un escáner de vulnerabilidades en la red puede identificar dichos sistemas y servicios que están utilizando las mencionadas credenciales por defecto.

Luego de identificados, modificar la configuración para que no se permita el acceso con esas combinaciones de usuario y contraseña y realizar revisiones periódicas al respecto.

Referencias:

Vulnerabilidad crítica (RCE sin autenticar) en kernel de Linux

Thu, 29 Dec 2022 19:34:48 GMT

Una vulnerabilidad crítica del kernel de Linux (puntuación CVSS de 10) expone los servidores SMB con ksmbd habilitado.

Contexto y vulnerabilidad

KSMBD es un servidor del kernel de Linux que implementa el protocolo SMB3 en el espacio del kernel para compartir archivos a través de la red. Un atacante remoto no autenticado puede ejecutar código arbitrario en instalaciones vulnerables del kernel de Linux.

El error reside en el procesamiento de los comandos SMB2_TREE_DISCONNECT.

“Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Linux Kernel. No se requiere autenticación para explotar esta vulnerabilidad, pero solo los sistemas con ksmbd habilitado son vulnerables”.

“La falla específica existe en el procesamiento de los comandos SMB2_TREE_DISCONNECT. El problema se debe a la falta de validación de la existencia de un objeto antes de realizar operaciones en el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del kernel”.

Aviso publicado por ZDI

La vulnerabilidad fue descubierta el 26 de julio de 2022 por los investigadores Arnaud Gatignol, Quentin Minster, Florent Saudel y Guillaume Teissier. Sin embargo, no ha sido publicada hasta el 22 de diciembre de 2022.

“Si su servidor SMB usa Samba, está seguro. Si usa ksmbd, un atacante con acceso de lectura podría filtrar la memoria de su servidor (similar a Heartbleed ). ksmbd es nuevo; la mayoría de los usuarios todavía usan Samba y no se ven afectados”.

Anotación de Shir Tamari, jefe de investigación de la empresa de seguridad en la nube Wiz.

Solución y más información

Para aquellos que usan ksmbd, existe una solución diferente a cambiar a Samba: actualizar a la versión 5.15.61 del kernel de Linux, lanzada en agosto, o una versión más reciente.

Esa actualización del kernel también solucionó un par de otros problemas en ksmbd: una lectura fuera de los límites para SMB2_TREE_CONNECT, que según la nota del parche podría permitir que las solicitudes no válidas no validen los mensajes, y una pérdida de memoria en smb2_handle_negotiate que hace que la memoria no sea correctamente liberada.

Referencias:

Vulnerabilidad Fortinet CVE-2022-42475

Tue, 13 Dec 2022 18:25:34 GMT

Fortinet ha liberado una alerta por una grave vulnerabilidad en sus equipos de firewall, afectando en el módulo VPN-SSL

Resumen
Una vulnerabilidad de buffer overflow heap-based (CWE-122) en FortiOS SSL-VPN permitiría a atacantes remotos "sin autentificación", ejecutar comandos y Código arbitrario en el firewall.

Estatus de la explotación
Fortinet esta informado de que esta vulnerabilidad está siendo explotada masivamente por grupos de ransomware. por lo que recomienda revisar los equipos en búsqueda de los siguientes indicadores de compromiso.

Múltiples entradas de logs con lo siguiente:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Presencia de los siguientes archivos:

/data/lib/libips.bak /data/lib/libgif.so /data/lib/libiptcp.so /data/lib/libipudp.so /data/lib/libjepg.so /var/.sslvpnconfigbk /data/etc/wxd.conf /flash

Conexiones sospechosas desde estas IPs:

188.34.130.40 103.131.189.143 192.36.119.61 172.247.168.153

139.180.184.197

66.42.91.32

158.247.221.101

107.148.27.117

139.180.128.142

155.138.224.122

185.174.136.20

Productos afectados
FortiOS version 7.2.0 through 7.2.2

FortiOS version 7.0.0 through 7.0.8

FortiOS version 6.4.0 through 6.4.10

FortiOS version 6.2.0 through 6.2.11

FortiOS-6K7K version 7.0.0 through 7.0.7

FortiOS-6K7K version 6.4.0 through 6.4.9

FortiOS-6K7K version 6.2.0 through 6.2.11

FortiOS-6K7K version 6.0.0 through 6.0.14

Soluciones
Please upgrade to FortiOS version 7.2.3 or above

Please upgrade to FortiOS version 7.0.9 or above

Please upgrade to FortiOS version 6.4.11 or above

Please upgrade to FortiOS version 6.2.12 or above

Please upgrade to FortiOS-6K7K version 7.0.8 or above

Please upgrade to FortiOS-6K7K version 6.4.10 or above

Please upgrade to FortiOS-6K7K version 6.2.12 or above

Please upgrade to FortiOS-6K7K version 6.0.15 or above

Mitigación temporal recomendada por GlobalSecure:

Si no es posible realizar la actualización del equipo Fortinet, en lo inmediato se recomienda crear una regla que solo permita acceso VPN-SSL desde los países donde tiene operación y sacar de internet el puerto de administración del Firewall, limitando su acceso solo desde IPs de confianza o desde conexiones VPN seguras. Esto le permitirá tener tiempo para poder realizar la actualización y hacer las pruebas de estabilidad correspondientes.

globalsecure-cybersecurity

Explotación activa RCE en Citrix ADC y Citrix Gateway (CVE-2022-27518)

Vulnerabilidad Critica permite ejecutar código arbitrario sin autenticar en Citrix ADC y Citrix Gateway.

La explotación activa, el aviso de la NSA y Citrix:

Cantidad de equipos vulnerables:

Detalle de la vulnerabilidad:

Que debo hacer?

Referencias:

Credenciales por Defecto

El problema de las credenciales por defecto

GlobalSecure recomienda:

Referencias:

Vulnerabilidad crítica (RCE sin autenticar) en kernel de Linux

Una vulnerabilidad crítica del kernel de Linux (puntuación CVSS de 10) expone los servidores SMB con ksmbd habilitado.

Contexto y vulnerabilidad

Aviso publicado por ZDI

﻿

Solución y más información

Vulnerabilidad Fortinet CVE-2022-42475