SAP Releases March 2022 Security Updates

SAP has released security updates to address vulnerabilities affecting multiple products. An attacker could exploit some of these vulnerabilities to take control of an affected system.

https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/sap-releases-march-2022-security-updates

TLStorm

Three critical vulnerabilities discovered in APC Smart-UPS devices can allow attackers to remotely manipulate the power of millions of enterprise devices.

https://www.armis.com/research/tlstorm/

New Nokoyawa Ransomware Possibly Related to Hive

In March 2022, we came across evidence that another, relatively unknown, ransomware known as Nokoyawa is likely connected with Hive, as the two families share some striking similarities in their attack chain, from the tools used to the order in which they execute various steps.

https://www.trendmicro.com/en_us/research/22/c/nokoyawa-ransomware-possibly-related-to-hive-.html

Raccoon Stealer: “Trash panda” abuses Telegram

We recently came across a stealer, called Raccoon Stealer, a name given to it by its author. Raccoon Stealer uses the Telegram infrastructure to store and update actual C&C addresses.

https://decoded.avast.io/vladimirmartyanov/raccoon-stealer-trash-panda-abuses-telegram/

Leaks of Conti Ransomware Group Paint Picture of a Surprisingly Normal Tech Start-Up… Sort Of.

You’ve probably heard of the Conti ransomware group. After their 2020 emergence, they’ve accumulated at least 700 victims, where by “victims” we mean ‘big fish’ corporations with millions of dollars in revenue; unlike your average neighborhood ransomware operation, Conti never cared for extorting your mother-in-law for her vacation photos. For a while, Conti was the face of ransomware, along with fellow gang REvil – until this February, when 14 REvil operatives were arrested by the Russian authorities, leaving Conti effectively alone in its position as a major league ransomware operation.

https://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/

Múltiples vulnerabilidades en Xen

Fecha de publicación: 11/03/2022
Importancia: 4 - Alta

Recursos afectados:
Varios frontends de dispositivos Linux PV:
blkfront,
netfront,
scsifront,
usbfront,
dmabuf,
xenbus,
9p,
kbdfront,
pvcalls,
driver gntalloc.

Descripción:
Demi Marie Obenour y Simon Gaiser, de Invisible Things Lab, han reportado múltiples vulnerabilidades presentes en algunos frontends de dispositivos Linux PV, debidas a que estos no eliminan adecuadamente los derechos de acceso de los backends, lo que podría permitir a un atacante la fuga de datos, la corrupción de datos o la denegación de servicio.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-xen-5

Release Information for Veeam Backup & Replication 10a Cumulative Patch P20220304

KB ID: 4291
Product: Veeam Backup & Replication | 10
Published: 2022-03-12
Last Modified: 2022-03-13

Resolved Issues
Vulnerabilities (CVE-2022-26500, CVE-2022-26501) in Veeam Distribution Service were fixed (vulnerabilities reported by Positive Technologies).
Vulnerability (CVE-2022-26504) in Veeam.Backup.PSManager was fixed.
Vulnerability (CVE-2022-26503) in Veeam Agent for Microsoft Windows was fixed (vulnerability reported by Positive Technologies).

https://www.veeam.com/kb4291

Actualización de seguridad 5.9.2 para WordPress

Fecha de publicación: 14/03/2022
Importancia: 4 - Alta
Recursos afectados: WordPress, versiones anteriores a 5.9.2.

Descripción:
Se ha publicado la última versión de WordPress, que contiene 3 correcciones de seguridad.

Solución:
Actualizar a la versión 5.9.2 desde WordPress.org o desde el panel de control (Updates > Update Now).

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-592-wordpress

Desde el Incibe se alerta de estas vulnerabilidades ya publicadas en este canal de manera específica que afectan a plataforma Exchange, los parches son del día 8 de marzo.

Ponen especial énfasis en:
[Actualización 14/03/2022] Dado que se ha observado un aumento de los ataques contra Microsoft Exchange, se aconseja aplicar el parche lo antes posible para solucionar la vulnerabilidad CVE-2022-23277.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-microsoft-marzo-2022

Verificación insuficiente de la autenticidad de los datos en Syltek

Fecha de publicación: 14/03/2022
Importancia: 4 - Alta

Recursos afectados:
Syltek, versiones anteriores a la 10.22.00.

Descripción:
INCIBE ha coordinado la publicación de una vulnerabilidad en la aplicación Syltek, con el código interno INCIBE-2022-0648, que ha sido descubierta por Enrique Benvenutto Navarro.

A esta vulnerabilidad se le ha asignado el código CVE-2021-4031. Se ha calculado una puntuación base CVSS v3.1 de 7,5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N.

Solución:
Esta vulnerabilidad ha sido resuelta por el equipo de Playtomic, en la versión 10.22.00, publicada el 02/12/2021.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/verificacion-insuficiente-autenticidad-los-datos-syltek

High-Severity Vulnerabilities Patched in Omron PLC Programming Software.

Several high-severity vulnerabilities that can be exploited for remote code execution were patched recently in the CX-Programmer software of Japanese electronics giant Omron.

https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software

Microsoft is testing ads in the Windows 11 File Explorer

Microsoft has begun testing promotions for some of its other products in the File Explorer app on devices running its latest Windows 11 Insider build.

https://www.bleepingcomputer.com/news/microsoft/microsoft-is-testing-ads-in-the-windows-11-file-explorer/

Múltiples vulnerabilidades en Apache HTTP Server

Fecha de publicación: 15/03/2022
Importancia: 4 - Alta
Recursos afectados:
Apache HTTP Server, versión 2.4.52 y anteriores.

Descripción:
Se han publicado cuatro vulnerabilidades en Apache HTTP Server, que podrían permitir a un atacante leer en una zona de memoria aleatoria, realizar contrabando de solicitudes (request smuggling) HTTP, hacer una escritura fuera de límites o sobrescribir la memoria de la pila.

Solución:
Actualizar a Apache HTTP Server 2.4.53.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-apache-http-server-1

CVE-2022-26500 | CVE-2022-26501

KB ID: 4288
Product: Veeam Backup & Replication | 9.5 | 10 | 11
Published: 2022-03-12
Last Modified: 2022-03-15

Challenge
Multiple vulnerabilities (CVE-2022-26500, CVE-2022-26501) in Veeam Backup & Replication allow executing malicious code remotely without authentication. This may lead to gaining control over the target system.

Severity: Critical - score: 9.8

Cause
The Veeam Distribution Service (TCP 9380 by default) allows unauthenticated users to access internal API functions. A remote attacker may send input to the internal API which may lead to uploading and executing of malicious code.

https://www.veeam.com/kb4288

Limitación incorrecta de la ruta a un directorio restringido en TIBCO JasperReports Library

Fecha de publicación: 16/03/2022
Importancia: 5 - Crítica

Recursos afectados:
TIBCO JasperReports Library:
versión 7.9.0;
para ActiveMatrix BPM, versión 7.9.0.
TIBCO JasperReports Server:
versiones 7.9.0 and 7.9.1;
para AWS Marketplace, versiones 7.9.0 y 7.9.1;
para ActiveMatrix BPM, versiones 7.9.0 y 7.9.1;
para Microsoft Azure, versión 7.9.1.
Componente Server.

Descripción:
Se ha identificado una vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (directory traversal) que podría permitir a los usuarios del servidor web acceder al contenido del sistema host.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/limitacion-incorrecta-ruta-directorio-restringido-tibco

Bucle infinito en OpenSSL

Fecha de publicación: 16/03/2022
Importancia: 4 - Alta

Recursos afectados:
OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:
clientes TLS que consumen certificados de servidor;
servidores TLS que consumen certificados de clientes;
proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
cualquier otra cosa que analice parámetros de curva elíptica ASN.1.

Descripción:
Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl

Apple Releases Security Updates for Multiple Products

https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products

Node.js security: Parse Server remote code execution vulnerability resolved.

https://portswigger.net/daily-swig/node-js-security-parse-server-remote-code-execution-vulnerability-resolved

[Actualización 17/03/2022] Bucle infinito en OpenSSL

Fecha de publicación: 16/03/2022
Importancia: 4 - Alta

Recursos afectados:
OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:
clientes TLS que consumen certificados de servidor;
servidores TLS que consumen certificados de clientes;
proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
cualquier otra cosa que analice parámetros de curva elíptica ASN.1.
[Actualización 17/03/2022] LibreSSL, versiones anteriores a 3.3.6, 3.4.3 y 3.5.1.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl

Múltiples vulnerabilidades en BIND

Fecha de publicación: 17/03/2022
Importancia: 4 - Alta

Recursos afectados:
BIND, versiones:
desde 9.11.0, hasta 9.11.36;
desde 9.12.0, hasta 9.16.26;
desde 9.16.11, hasta 9.16.26;
desde 9.17.0, hasta 9.18.0.
BIND Supported Preview Editions, versiones:
desde 9.11.4-S1, hasta 9.11.36-S1;
desde 9.16.8-S1, hasta 9.16.26-S1;
desde 9.16.11-S1 hasta 9.16.26-S1.
Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas ya que se consideran en su fin de vida útil.

Descripción:
Se han publicado 3 vulnerabilidades, 1 de severidad alta y 2 medias, que podrían permitir a un atacante finalizar el proceso named, enviar información falsa a los clientes o hacer que las conexiones a BIND permanezcan en estado CLOSE_WAIT durante un periodo de tiempo indefinido, incluso después de que el cliente haya finalizado la conexión.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-bind-2