1. Explotación de Vulnerabilidad crítica (RCE) en Fortinet

2. Actualización urgente de Mozilla Firefox

3. Análisis de un Phishing suplantando a la AEAT

Explotación de Vulnerabilidad crítica (RCE) en Fortinet 

El fallo (CVE-2024-23113) se debe a que el demonio fgfmd acepta una cadena de formato controlada externamente como argumento, lo que puede permitir a los actores de amenazas no autenticados ejecutar comandos o código arbitrario en dispositivos no parcheados en ataques de baja complejidad que no requieren la interacción del usuario.

Como explica Fortinet, el daemon vulnerable fgfmd se ejecuta en FortiGate y FortiManager, gestionando todas las peticiones de autenticación y los mensajes keep-alive entre ellos (así como todas las acciones resultantes como ordenar a otros procesos que actualicen archivos o bases de datos).

“Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberactores maliciosos y plantean riesgos significativos para la empresa”, advirtió la agencia de ciberseguridad (CISA).

Enlace

Actualiza Mozilla Firefox a la versión más reciente para solucionar una vulnerabilidad crítica

Recursos afectados:

• Firefox 131.0.2

• Firefox ESR 115.16.1

• Firefox ESR 128.3.1

Mozilla ha lanzado una actualización para corregir una vulnerabilidad crítica que podría estar siendo explotada, por lo que se recomienda actualizar de inmediato a la última versión para garantizar la seguridad y protección de los dispositivos. La vulnerabilidad ha sido detectada mediante un ataque que pudo aprovechar un error relacionado con la gestión de las animaciones en páginas webs, lo que permite ejecutar comandos maliciosos en el navegador. Esto significa que, al visitar una página web maliciosa, el navegador puede ser controlado por el atacante.

Enlace

Análisis de un Phishing suplantando a la AEAT

Un cliente informa que ha recibido un correo muy sospechoso y quiere que se analice el EML adjunto. En un primer instante se observa el correo

Se observa que viene de una cuenta simulando ser de la AEAT con un asunto referente a un Expediente y en el cuerpo del correo comenta que hay un plazo de 48 horas para presentarlo, cosa que ya hace sospechar cuando instan a un plazo de tiempo muy corto para responder.

En el análisis de cabeceras, observamos que la cuenta de correo remitente es: AgenciaEstataldeAdministraciónTrîbutarí[email protected] Como se puede observar, tiene un dominio de Brasil, no corresponde con el dominio legítimo de la AEAT. Se comprueba los filtros SPF, DKIM y DMARC y solo tiene activo el SPF, el resto no, por lo que no da una garantía 100% de seguridad.

Hasta este punto ya podíamos confirmar que no es un correo legítimo, pero continuamos con el análisis del cuerpo del correo y nos encontramos con una URL supuestamente para descargar la supuesta notificación que nos quiere enviar la AEAT. Dicho enlace corresponde con: hXXps://sede.agenciatributaria.gob.es.8si2xz.online/?lg=es&uid=855430&src=adbtrib_8oct_notif_final&user=XXXXXX

Se realiza una simulación de introducir credenciales y lo que hace es una petición POST a un fichero PHP de la misma web donde guarda la clave junto al usuario para que los cibercriminales tengan las credenciales legítimas. Se ha procedido a informar a la AEAT de dicha suplantación y ha día de hoy ya no está operativo los enlaces maliciosos.

Recuerda que cualquier email sospechoso tienes que guardarlo como EML y enviarlo [email protected] para su análisis.