Alertas octubre 2024

Vulnerabilidades críticas en productos Fortinet

24/10/2024

Desde el CERT del SOC de la Junta de Andalucía les informamos que la empresa Fortinet ha liberado parches de seguridad para corregir una vulnerabilidad crítica que afectaba a algunos de sus productos.

Los detalles de la vulnerabilidad parcheada son:

  • CVE-2024-47575: vulnerabilidad de falta de autenticación para funciones críticas [CWE-306] en el daemon fgfmd de FortiManager puede permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas.

Debemos indicarles que esta vulnerabilidad está siendo activamente explotada por los cibercriminales.

Sistemas afectados:

  • FortiManager

Debido al riesgo potencial que presentan estas vulnerabilidades, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Para ello, deben actualizar sus productos a las siguientes versiones de software o posteriores, dependiendo de la rama del producto que usen:

  • FortiManager 7.6 (Version 7.6.0), actualizar a 7.6.1 o superior
  • FortiManager 7.4 (Version 7.4.0 hasta 7.4.4), actualizar a 7.4.5 o superior
  • FortiManager 7.2 (Version 7.2.0 hasta 7.2.7), actualizar a 7.2.8 o superior
  • FortiManager 7.0 (Version 7.0.0 hasta 7.0.12), actualizar a 7.0.13 o superior
  • FortiManager 6.4 (Version 6.4.0 hasta 6.4.14), actualizar a 6.4.15 o superior
  • FortiManager 6.2 (Version 6.2.0 hasta 6.2.12), actualizar a 6.2.13 o superior
  • FortiManager Cloud 7.6 (Version no afectada), no aplica
  • FortiManager Cloud 7.4 (Version hasta 7.4.4), actualizar a 7.4.5 o superior
  • FortiManager Cloud 7.2 (Version hasta 7.2.7), actualizar a 7.2.8 o superior
  • FortiManager Cloud 7.0 (Version hasta 7.0.12), actualizar a 7.0.13 o superior
  • FortiManager Cloud 6.4 (Todas las versiones 6.4), migrar a una versión corregida

Se recomienda encarecidamente actualizar los equipos afectados a la mayor brevedad posible, empezando por los equipos expuestos a Internet. Si no es posible, se recomienda aplicar la solución temporal propuesta por el fabricante. También se recomienda buscar evidencias de un posible compromiso según indicaciones del fabricante.

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Pueden encontrar más información en los siguientes enlaces:

Informe quincenal de vulnerabilidades críticas en controladores de dominio

21/10/2024

Aprovechando la funcionalidad de descubrimiento pasivo de vulnerabilidades del EDR Corporativo, CrowdStrike, le informamos que con carácter quincenal le será enviado un informe automatizado con las vulnerabilidades críticas (conforme a su CVSS score) detectadas en los Controladores de Dominio de su Organismo, caso de tenerlos enrolados.

La fecha de emisión del primer informe será mañana 22 de octubre de 2024, llegando a la dirección de correo definida como POC del CERT por cada Organismo.

Para cualquier aclaración al respecto pueden contactar con el equipo de soporte EDR a través del buzón edr.soc@juntadeandalucia.es

Recomendaciones de seguridad para administradores de tenants alojados en la nube

16/10/2024

Desde el CERT del SOC de la Junta de Andalucía nos gustaría proporcionarles una serie de recomendaciones de seguridad genéricas para administradores de tenants alojados en la nube, con el objetivo de que puedan verificar que dichos entornos cuentan con unos conceptos mínimos de bastionado:

  • No compartir las cuentas de usuario entre distintas personas.
  • Tener cuentas de administración dedicadas, lo cual implica no usar cuentas de servicio o personales con privilegios de administración.
  • No utilizar, en lo posible, cuentas de administración con nombres predecibles.
  • Limitar el número de cuentas privilegiadas a las mínimas imprescindibles.
  • Usar las cuentas de administración únicamente desde equipos seguros o, si es necesario, bastionados.
  • Habilitar mecanismos de seguridad reforzada en general, y obligatoriamente en las cuentas privilegiadas. En particular, usar contraseñas robustas que se cambien periódicamente, establecer el uso de MFA (autenticación de múltiples factores) y restricciones por geolocalización en el acceso al tenant para estas cuentas.
  • Adquirir y utilizar los complementos de seguridad necesarios para los usuarios críticos, o para todo el producto: características de seguridad en la autenticación, protección del contenido, registro de actividad...
  • Llevar a cabo un proceso de bastionado inicial del tenant en base a las guías de seguridad elaboradas por el CCN-CERT para cada nube (ver más abajo), así como revisiones periódicas de la configuración de seguridad del tenant.
  • Reducir la superficie de exposición del tenant, lo cual implica verificar que no están habilitados servicios que no se usan, así como establecer políticas de restricción de acceso por geolocalización, habilitando únicamente ciertos orígenes.
  • Verificar que el tenant cuenta con mecanismos adecuados de protección de los activos, como medidas contra ataques de denegación de servicio y mecanismos de protección de la información almacenada, incluyendo motores antivirus que analicen la información alojada.
  • Configurar el tenant para que genere registros de auditoría y seguridad que puedan ser analizados.
  • Monitorizar los registros de auditoría y seguridad para la detección temprana de posibles incidentes de seguridad asociados al tenant, priorizando los eventos de mayor peligrosidad o potencial impacto.
  • Contar con una documentación detallada del tenant y de los procesos y procedimientos asociados al mismo, así como su interrelación con los procesos y procedimientos tradicionales de gestión TI on premise del organismo.
  • Contar con soporte especializado de las tecnologías en uso, siendo altamente recomendable que dicho soporte cuente con expertos en el área de ciberseguridad.
  • Conocer y probar regularmente el procedimiento de gestión de incidentes de seguridad del proveedor del servicio en la nube.
  • Colaborar con el SOC de la Junta de Andalucía para inventariar los activos en la nube, de modo que el SOC conozca por completo la superficie de exposición del Sector Público Autonómico. Se trasladará solicitud de información en este sentido.

Pueden encontrar más información en los siguientes enlaces:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Vulnerabilidades críticas en productos Mozilla

11/10/2024

Desde el CERT del SOC de la Junta de Andalucía les informamos que la empresa Mozilla ha liberado parches de seguridad para corregir una vulnerabilidad crítica que afectaba a algunos de sus productos.

Los detalles de la vulnerabilidad parcheada son:

  • CVE-2024-9680 (Use-after-free in Animation timeline): vulnerabilidad cuya explotación exitosa podría permitir a un atacante no autenticado la ejecución de código en los sistemas afectados.

Debemos indicarles que esta vulnerabilidad está siendo activamente explotada por los cibercriminales.

Sistemas afectados:

  • Firefox y Firefox ESR
  • Thunderbird

Debido al riesgo potencial que presentan estas vulnerabilidades, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Para ello, deben actualizar sus productos a las siguientes versiones de software o posteriores, dependiendo de la rama del producto que usen:

  • Firefox 131.0.2
  • Firefox ESR 115.16.1
  • Firefox ESR 128.3.1
  • Thunderbird 115.16
  • Thunderbird 128.3.1
  • Thunderbird 131.0.1

Pueden encontrar más información en los siguientes enlaces:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Vulnerabilidad crítica en productos Fortinet

11/10/2024

Desde el CERT del SOC de la Junta de Andalucía les informamos que recientemente se ha comenzado a explotar de forma activa una vulnerabilidad crítica en productos Fortinet, que ya fue parcheada en febrero de 2024.

Los detalles de la vulnerabilidad mencionada son los siguientes:

  • CVE-2024-23113 (Format String Bug in fgfmd): está vulnerabilidad podría permitir a un atacante no autenticado la ejecución remota de código arbitrario o comandos en el sistema afectado.


Sistemas afectados:

  • FortiOS 7.4  versiones 7.4.0 hasta 7.4.2
  • FortiOS 7.2 versiones 7.2.0 hasta 7.2.6
  • FortiOS 7.0 versiones 7.0.0 hasta 7.0.13
  • FortiPAM 1.2 todas las versiones de 1.2
  • FortiPAM 1.1 todas las versiones de 1.1
  • FortiPAM 1.0 todas las versiones de 1.0
  • FortiProxy 7.4 versiones 7.4.0 hasta 7.4.2
  • FortiProxy 7.2 versiones 7.2.0 hasta 7.2.8
  • FortiProxy 7.0 versiones 7.0.0 hasta 7.0.15
  • FortiWeb 7.4 versiones 7.4.0 hasta 7.4.2

Nota: Las versiones FortiOS 6.x y FortiPAM 1.3 no se han visto afectadas.
Debido al riesgo potencial que presenta esta vulnerabilidad, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante.

Mitigaciones:

Si no le resulta posible actualizar de forma inmediata, la empresa Fortinet facilita las siguientes mitigaciones:

Por cada interfaz, eliminar el acceso fgfm.

Pueden encontrar más información en los siguientes enlaces:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Vulnerabilidad crítica en productos Microsoft

09/10/2024

 Desde el CERT del SOC de la Junta de Andalucía les informamos que han sido liberados los parches de seguridad mensuales de Microsoft, <<October 2024 Security Updates>>. Esta actualización incluye cerca de 120 parches, entre los que se encuentran tres vulnerabilidades críticas.

En esta ocasión, desde el CERT nos gustaría destacar las siguientes vulnerabilidades:

  • CVE-2024-43572 (Microsoft Management Console Remote Code Execution Vulnerability): vulnerabilidad cuya explotación exitosa permitía que archivos maliciosos de Microsoft Saved Console (MSC) ejecutaran código de forma remota en los dispositivos afectados.
  • CVE-2024-43573 (Windows MSHTML Platform Spoofing Vulnerability): vulnerabilidad que afecta a la plataforma MSHTML,utilizada por Internet Explorer y Microsoft Edge. Si bien no se han hecho públicos los detalles técnicos de la misma, podría tratarse de un bypass de una vulnerabilidad anterior que abusaba de MSHTML para falsear las extensiones de archivo en las alertas que se mostraban al abrir dichos archivos.

Debemos indicarles que estas vulnerabilidades están siendo activamente explotadas por los cibercriminales.

Sistemas afectados:

  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Suite Office

Debido al riesgo potencial que presentan estas vulnerabilidades, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Debido a la gran cantidad de vulnerabilidades recomendamos actualizar el sistema completamente, siempre que sea posible.

Pueden encontrar más información en los siguientes enlaces:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Información adicional

Para más información puedes ponerte en contacto con nosotros a través de los correos electrónicos gerencia.ada@juntadeandalucia.es o dged.ada@juntadeandalucia.es, o en el teléfono 955061501.

Índice