From security em unicamp.br  Wed Jul 12 15:50:52 2023
From: security em unicamp.br (CSIRT Unicamp)
Date: Wed, 12 Jul 2023 15:50:52 -0300
Subject: [SECURITY-L] [Security-news] Two-factor Authentication (TFA) -
 Critical - Access bypass - SA-CONTRIB-2023-030
In-Reply-To: <mailman.9416.1689187220.767.security-news@drupal.org>
References: <mailman.9416.1689187220.767.security-news@drupal.org>
Message-ID: <CAEsueBM-yX-Lb1dRJ15LZ5kQ8Eu5T5UJSk52o-07ohTLk_4y3w@mail.gmail.com>

View online: https://www.drupal.org/sa-contrib-2023-030

Project: Two-factor Authentication (TFA) [1]
Date: 2023-July-12
Security risk: *Critical* 17?25
AC:Basic/A:None/CI:Some/II:Some/E:Proof/TD:All [2]
Vulnerability: Access bypass

Affected versions: ^1 <= 1.0.0
Description:
This module enables you to allow and/or require users to use a second
authentication method in addition to password authentication.

The module doesn't sufficiently ensure all core login routes, including the
password reset page, require a second factor credential.

This vulnerability is mitigated by the fact that an attacker must obtain a
first-factor login credential.

Solution:
Install the latest version:

   * If you use the Two-factor Authentication (TFA) module for Drupal 8/9
     please upgrade to TFA 8.x-1.1 [3]

Ensure all additional external forms of authentication, such as REST, have
been disabled.

Reported By:
   * Conrad Lara [4]
   * Benji Fisher [5] of the Drupal Security Team

Fixed By:
   * Lee Rowlands [6] of the Drupal Security Team
   * João Ventura [7]
   * Conrad Lara [8]
   * Benji Fisher [9] of the Drupal Security Team
   * Mingsong  [10]
   * Jonathan Daggerhart [11]
   * Vitaliy Bogomazyuk [12]
   * Giles Birch [13]
   * N Cantrell [14]
   * Reinder Venema [15]
   * Rory Downes [16]

Coordinated By:
   * Damien McKenna [17] of the Drupal Security Team
   * Greg Knaddison [18] of the Drupal Security Team


[1] https://www.drupal.org/project/tfa
[2] https://www.drupal.org/security-team/risk-levels
[3] https://www.drupal.org/project/tfa/releases/8.x-1.1
[4] https://www.drupal.org/user/1790054
[5] https://www.drupal.org/user/683300
[6] https://www.drupal.org/user/395439
[7] https://www.drupal.org/user/122464
[8] https://www.drupal.org/user/1790054
[9] https://www.drupal.org/user/683300
[10] https://www.drupal.org/user/2986445
[11] https://www.drupal.org/user/167806
[12] https://www.drupal.org/user/3514011
[13] https://www.drupal.org/user/512726
[14] https://www.drupal.org/user/3593195
[15] https://www.drupal.org/user/3669405
[16] https://www.drupal.org/user/2998173
[17] https://www.drupal.org/user/108450
[18] https://www.drupal.org/user/36762

_______________________________________________
Security-news mailing list
Security-news em drupal.org
Unsubscribe at https://lists.drupal.org/mailman/listinfo/security-news


===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20230712/186ae6c7/attachment.html>

From security em unicamp.br  Thu Jul 13 14:05:01 2023
From: security em unicamp.br (CSIRT Unicamp)
Date: Thu, 13 Jul 2023 14:05:01 -0300
Subject: [SECURITY-L] [RNP/CAIS Alerta #0116] Vulnerabilidade no controlador
 de zonas de armazenamento ShareFile (Citrix)
In-Reply-To: <926880022.250696.1689259841196.JavaMail.zimbra@rnp.br>
References: <926880022.250696.1689259841196.JavaMail.zimbra@rnp.br>
Message-ID: <CAEsueBPpoWG4A624geJCsbwjsB42EbpOWUbYabukpc2wMSffrg@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta 13-07-2023-Vulnerabilidade no controlador de zonas de
armazenamento ShareFile (Citrix)

Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para uma
vulnerabilidade crítica divulgado pela Citrix, que afeta sua solução
ShareFile, na função do controlador de zonas de armazenamento gerenciado
pelo cliente.
O ShareFile é um serviço de compartilhamento de arquivos que permite aos
usuários troca de arquivos. A solução é baseada em nuvem, porém permite aos
usuários a opção de armazenar arquivos em seu próprio Data Center por meio
da função 'Conectores de Zona de Armazenamento', onde identificou-se a
vulnerabilidade.


1) Produto(s) afetado(s);
2) Identificador CVE (http://cve.mitre.org);
3) Descrição da vulnerabilidade, versões afetadas e formas de exploração;
4) Mitigação e correções disponíveis;
5) Maiores Informações


1) Produto(s) e versões afetadas afetado(s);

Todas versões anteriores a 5.11.24

2) Identificador CVE (http://cve.mitre.org);

CVE-2023-24489

3) Descrição da vulnerabilidade

A Citrix divulgou comunicado alertando sobre uma vulnerabilidade no
controlador de zonas de armazenamento da solução ShareFile, gerenciado pelo
cliente, um agente malicioso não autenticado que explorar esta
vulnerabilidade pode comprometer remotamente o controlador de zonas de
armazenamento, por meio de upload de arquivo arbitrários,  levando à
execução remota de código.

Esta vulnerabilidade foi classificada com CVSS 9,1

Até a última revisão deste alerta, foram identificados códigos capazes de
explorar esta vulnerabilidade.


4) Mitigação e correções disponíveis;

Segundo o comunicado Citrix as versões anteriores a 5.11.24 foram
bloqueadas. Os clientes poderão restabelecer o controlador de zonas de
armazenamento após aplicarem a atualização para a versão 5.11.24 e
posteriores, onde a vulnerabilidade foi corrigida.

Mais informações
https://support.citrix.com/article/CTX559517/sharefile-storagezones-controller-security-update-for-cve202324489
https://nvd.nist.gov/vuln/detail/CVE-2023-24489


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://cais.rnp.br/                  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org

wsFcBAEBCAAQBQJksA9DCRDU96v9U5pXgAAA5dMQAI89UGxA/kcFqQnVw8JD
cVDATPCGzjVZk7Kz0cMh7fo2JBXPplUUT8rOTh6+P4e3hKGguMiRUMcvOZ1F
FEMXfTx5Mgm+2ZAktZIScMzNnUXC6JsWCeNRtwR10x4og3hO0bYVHoSOH2V3
o//lhaaX4fiXaDM/lrAPxlGtCLVDnk1NMUue67i3SuEdG3qmxpj9zSvf59ID
RdUSgIJ23L+0oXiXdxaKXARz/euopSYjVeEb9wpQTfmgAiYnaq+fEqNbO9gV
K9Z6YUjVTazorDQanBmUH0xvsUq6/f0odfwxVCIZTC0Uf00bGkgkVv6BtYod
gdDaWVVSP6/P2CI1M/qLMlIvcpEFuXXIYCQVBJCovOJh0zk7ZM6Fug6YdxWI
GjH+Yt+/9qesYjDNM1w17dyxMzXe3Vs0SukC+iQynkHTzspvxlfADY2VCrui
A6IkHrOINqnVF5J5oo8kAPR3j96WZSz9NqWvOsBeGX4him6f3e7Ox4wUz5vP
2L95eVBNZNyzXz7lU7JtwyRl8st5LsihivwfJpJmJajXvVg7bJx61JPlVxkx
6WqjrRJTRgbODmAAq4MPqQqFSFqc7Y5PXVIt+YD3Jd7y2ga1HpBTcht/VD8A
0yBCuRQbse2W/BZB0BaD7w6zxcY+R6VNFOZpd7ZCimmadDt6FcMxQn5gDUET
JaZa
=Rv7h
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta



===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20230713/10328467/attachment.html>

From security em unicamp.br  Thu Jul 27 11:32:06 2023
From: security em unicamp.br (CSIRT Unicamp)
Date: Thu, 27 Jul 2023 11:32:06 -0300
Subject: [SECURITY-L] Critical MikroTik RouterOS Vulnerability Exposes Over
 Half a Million Devices to Hacking
Message-ID: <CAEsueBM5=FbODR_tjGUZTggOuEOW031A48mzvPForwqLEp2jSg@mail.gmail.com>

Critical MikroTik RouterOS Vulnerability Exposes Over Half a Million
Devices to Hacking
Jul 26, 2023    THN

Network Security / Vulnerability

MikroTik RouterOS Vulnerability

A severe privilege escalation issue impacting MikroTik RouterOS could be
weaponized by remote malicious actors to execute arbitrary code and
seize full control of vulnerable devices.

Cataloged as CVE-2023-30799 (CVSS score: 9.1), the shortcoming is
expected to put approximately 500,000 and 900,000 RouterOS systems at
risk of exploitation via their web and/or Winbox interfaces,
respectively, VulnCheck disclosed in a Tuesday report.

"CVE-2023-30799 does require authentication," security researcher Jacob
Baines said. "In fact, the vulnerability itself is a simple privilege
escalation from admin to 'super-admin' which results in access to an
arbitrary function. Acquiring credentials to RouterOS systems is easier
than one might expect."

This is because the Mikrotik RouterOS operating system does not offer
any protection against password brute-force attacks and ships with a
well-known default "admin" user, with its password being an empty string
until October 2021, at which point administrators were prompted to
update the blank passwords with the release of RouterOS 6.49.

CVE-2023-30799 is said to have been originally disclosed by Margin
Research as an exploit dubbed FOISted without an accompanying CVE
identifier in June 2022. The security hole, however, was not plugged
until October 13, 2022, in the RouterOS stable version 6.49.7 and on
July 19, 2023, for the RouterOS Long-term version 6.49.8.

VulnCheck noted that a patch for the Long-term release tree was made
available only after it directly contacted the vendor and "published new
exploits that attacked a wider range of MikroTik hardware."

A proof-of-concept (PoC) devised by the company shows that it's possible
to derive a new MIPS architecture-based exploit chain from FOISted and
obtain a root shell on the router.

"Given RouterOS' long history of being an APT target, combined with the
fact that FOISted was released well over a year ago, we have to assume
we aren't the first group to figure this out," Baines noted.

"Unfortunately, detection is nearly impossible. The RouterOS web and
Winbox interfaces implement custom encryption schemes that neither Snort
or Suricata can decrypt and inspect. Once an attacker is established on
the device, they can easily make themselves invisible to the RouterOS UI."

With flaws in Mikrotik routers exploited to corral the devices into
distributed denial-of-service (DDoS) botnets such as M?ris and use them
as command-and-control proxies, it's recommended that users patch the
flaw by updating to the latest version (6.49.8 or 7.x) as soon as possible.

Mitigation advice includes removing MikroTik administrative interfaces
from the internet, limiting the IP addresses administrators can login
from, disabling the Winbox and the web interfaces, and configuring SSH
to use public/private keys and disable passwords.

link referencia:
https://thehackernews.com/2023/07/critical-mikrotik-routeros.html

===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20230727/5c33f0bf/attachment.html>

From security em unicamp.br  Fri Jul 28 18:00:52 2023
From: security em unicamp.br (CSIRT Unicamp)
Date: Fri, 28 Jul 2023 18:00:52 -0300
Subject: [SECURITY-L] [RNP/CAIS Alerta #0121] Vulnerabilidade no RouterOS da
 MikroTik
In-Reply-To: <404489908.545274.1690577090318.JavaMail.zimbra@rnp.br>
References: <404489908.545274.1690577090318.JavaMail.zimbra@rnp.br>
Message-ID: <CAEsueBMShT0PHatN5Bzt6pnbmGXDdWCYns4ujs0sXm0q7K5Nog@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [28-07-2023]-Vulnerabilidade no RouterOS da MikroTik

Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para uma
vulnerabilidade crítica de escalonamento de privilégios no Sistema
Operacional RouterOS da MikroTik.
O RouterOS, é um sistema operacional baseado em Linux, para gerenciamento
dos dispositivos de roteamento da MikroTik.

1) Produto(s) afetado(s);
2) Identificador CVE (http://cve.mitre.org);
3) Descrição da vulnerabilidade e formas de exploração;
4) Mitigação e correções disponíveis;
5) Maiores Informações

1) Produto(s) e versões afetadas afetado(s);

MikroTik - RouterOS estável até 6.49.6
MikroTik - RouterOS de longo prazo até 6.48.7

2) Identificador CVE (http://cve.mitre.org);

CVE-2023-30799

3) Descrição da vulnerabilidade;

O RouterOS da MikroTik possui vulnerabilidade de escalonamento de
privilégios, um agente malicioso autenticado que explorar essa
vulnerabilidade poderá escalar privilégio de administrador para super
administrador na interface Winbox ou HTTP e executar códigos arbitrários no
sistema.
Esta vulnerabilidade foi classificada com CVSS 9.1.

Até a última revisão deste alerta, foram identificados códigos capazes de
explorar estas vulnerabilidades.


4) Mitigação e correções disponíveis;

Recomenda-se executar as atualizações de correção disponibilizadas pelo
fornecedor da solução.

5) Mais informações;

https://nvd.nist.gov/vuln/detail/CVE-2023-30799
https://blog.mikrotik.com/security/cve-2023-30799.html


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://cais.rnp.br/                  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=B+t3
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta


===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20230728/990cc9c5/attachment-0001.html>

From security em unicamp.br  Mon Jul 31 09:33:15 2023
From: security em unicamp.br (CSIRT Unicamp)
Date: Mon, 31 Jul 2023 09:33:15 -0300
Subject: [SECURITY-L] [RNP/CAIS Alerta #0122] Vulnerabilidade no OpenSSH
Message-ID: <CAEsueBPLTq0by6v1WOprdhXwH18yW2XOVnSY-6S7SxKtN=Z6wQ@mail.gmail.com>

CAIS-Alerta [28-07-2023]: Vulnerabilidade no OpenSSH

Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para uma
vulnerabilidade encontrada no OpenSSH, através do recurso PKCS#11 no
ssh-agent. Esta vulnerabilidade existe devido a uma correção incompleta
para CVE-2016-10009.

O OpenSSH é uma solução de conectividade para logon remoto, nos sistemas
baseados em Linux, AIX, macOS, BSD, etc. fornecendo recursos de tunelamento
seguro e métodos de autenticação. No recurso ssh-agent ficam armazenadas as
chaves privadas usadas para autenticação de chave pública.


1) Produto(s) afetado(s);
2) Identificador CVE (http://cve.mitre.org);
3) Descrição da vulnerabilidade e formas de exploração;
4) Mitigação e correções disponíveis;
5) Maiores Informações


1) Produto(s) e versões afetadas afetado(s);

OpenSSH na versão 9.3p2 e anteriores

2) Identificador CVE (http://cve.mitre.org);

CVE-2023-38408

3) Descrição da vulnerabilidade;

De acordo com o comunicado da OpenSSH, foi identificada uma vulnerabilidade
no recurso PKCS#11 no ssh-agent. A exploração bem-sucedida dessa
vulnerabilidade em um serviço exposto, pode permitir que um atacante com o
controle do encaminhamento do "agent-socket" e a capacidade de gravar no
sistema de arquivos do host do cliente, execute códigos arbitrários
remotamente, obtendo os mesmos privilégios do usuário que está executando o
serviço "ssh-agent".

4) Mitigação e correções disponíveis;

Segundo a OpenSSH a exploração pode ser mitigada configurando o ssh-agent
com uma lista de permissões PKCS#11/FIDO vazia (ssh-agent -P ''), ou
configurando uma lista de permissões que contém apenas bibliotecas de
provedores específicos.

Recomenda-se executar as atualizações de correção disponibilizadas pelo
fornecedor da solução.

5) Maiores Informações;

https://access.redhat.com/security/cve/cve-2023-38408
https://www.openssh.com/security.html
https://www.openssh.com/txt/release-9.3p2
https://www.openwall.com/lists/oss-security/2023/07/19/9
https://nvd.nist.gov/vuln/detail/cve-2016-10009


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://cais.rnp.br/                  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20230731/e0db48c4/attachment.html>