Noticias Destacadas

Vulnerabilidades en Zimbra Collaboration Suite

Ha sido liberada una actualización de seguridad que corrige vulnerabilidades en la suite de Zimbra Collaboration. Estas vulnerabilidades con identificador CVE-2021-34807, CVE-2021-35209, CVE-2021-35208 y CVE-2021-35207 afectan en parte al servidor y cliente web e involucran varias versiones.

A continuación se detalla un resumen de las vulnerabilidades encontradas y las versiones afectadas:

  • CVE-2021-34807 – Existe una vulnerabilidad de redireccionamiento abierto en / preauth Servlet en Zimbra Collaboration Suite que afecta hasta la versión 9.0, excluyendo la versión 8.8.15 patch 23. Un atacante debería haber obtenido un token de autenticación de zimbra válido o un token de autorización previa válido para aprovechar la vulnerabilidad, y una vez que se obtiene el token, el atacante podría redirigir a un usuario a cualquier URL a través de isredirect = 1 & redirectURL = junto con los datos del token.
  • CVE-2021-35209 – Se descubrió un problema en ProxyServlet.java en el servlet / proxy en Zimbra Collaboration Suite en las versiones 8.8.x antes de la versión 8.8.15 Patch 23 y versión 9.x antes de versión 9.0.0 Patch 16. La vulnerabilidad consiste en que el valor del encabezado X-Host sobrescribe el valor del encabezado Host en solicitudes proxy.
  • CVE-2021-35208 – Se descubrió un problema en ZmMailMsgView.js en el componente Calendar Invite en Zimbra Collaboration Suite en las versiones 8.8.x antes de la versión 8.8.15 Patch 23. Un atacante podría colocar HTML que contenga JavaScript ejecutable dentro de los atributos de los elementos.
  • CVE-2021-35207 – Se descubrió un problema en Zimbra Collaboration Suite con versión 8.8.x antes de la versión 8.8.15 Patch 23 y 9.0 antes de 9.0.0 Patch 16. Existe una vulnerabilidad XSS en el componente de inicio de sesión de Zimbra Web Client, en la que un atacante puede ejecutar JavaScript arbitrario agregando JavaScript ejecutable a el parámetro loginErrorCode de la URL de inicio de sesión.

Estas vulnerabilidades han sido solucionadas en la versión 9.0.0 bajo el parche 16. Se recomienda mantener actualizados los sistemas a su versión estable más reciente.

Para mayor información:

PrintNightmare: Vulnerabilidad sin parche afecta al servicio de cola de impresión de Windows – CVE-2021-34527

Microsoft lanzó el 01/07/2021 una vulnerabilidad identificada como CVE-2021-34527, que afecta al servicio de cola de impresión de Windows y permitiría la ejecución de código remoto en los sistemas con dicho servicio, incluso desde las cuentas de usuarios que sólo tienen permisos básicos. Cabe mencionar, que este problema es similar pero distinto de la vulnerabilidad a la que se le asigna CVE-2021-1675, que aborda una vulnerabilidad diferente en RpcAddPrinterDriverEx (). El vector de ataque también es diferente al CVE-2021-1675 que fue abordado por la actualización de seguridad publicada el 8 de junio de 2021.

La vulnerabilidad de ejecución remota de código se explota con éxito cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA, podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario.

Los requisitos previos para una explotación exitosa consisten en:

  • Servicio de cola de impresión habilitado en el sistema de destino.
  • Conectividad de red al sistema de destino (se ha obtenido el acceso inicial).
  • Hash o contraseña para una cuenta de usuario (o computadora) con pocos privilegios.
Fuente: Stan Hegt (@StanHacked)

Microsoft aun no ha asignado severidad a la vulnerabilidad identificada como PrintNightmare bajo ID CVE-2021-34527. A continuación, se detallan los productos afectados:

CVEImpactoProducto Afectado
CVE-2021-34527Ejecución remota de códigoWindows Server 2012 R2 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows Server 2012 R2
CVE-2021-34527Ejecución remota de códigoWindows Server 2012 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows Server 2012
CVE-2021-34527Ejecución remota de códigoWindows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows Server 2008 R2 for x64-based Systems Service Pack 1
CVE-2021-34527Ejecución remota de códigoWindows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows Server 2008 for x64-based Systems Service Pack 2
CVE-2021-34527Ejecución remota de códigoWindows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows Server 2008 for 32-bit Systems Service Pack 2
CVE-2021-34527Ejecución remota de códigoWindows RT 8.1
CVE-2021-34527Ejecución remota de códigoWindows 8.1 for x64-based systems
CVE-2021-34527Ejecución remota de códigoWindows 8.1 for 32-bit systems
CVE-2021-34527Ejecución remota de códigoWindows 7 for x64-based Systems Service Pack 1
CVE-2021-34527Ejecución remota de códigoWindows 7 for 32-bit Systems Service Pack 1
CVE-2021-34527Ejecución remota de códigoWindows Server 2016 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows Server 2016
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 1607 for x64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 1607 for 32-bit Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 for x64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 for 32-bit Systems
CVE-2021-34527Ejecución remota de códigoWindows Server, version 20H2 (Server Core Installation)
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 20H2 for ARM64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 20H2 for 32-bit Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 20H2 for x64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows Server, version 2004 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 2004 for x64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 2004 for ARM64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 2004 for 32-bit Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 21H1 for 32-bit Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 21H1 for ARM64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 21H1 for x64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows Server, version 1909 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 1909 for ARM64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 1909 for x64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 1909 for 32-bit Systems
CVE-2021-34527Ejecución remota de códigoWindows Server 2019 (Server Core installation)
CVE-2021-34527Ejecución remota de códigoWindows Server 2019
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 1809 for ARM64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 1809 for x64-based Systems
CVE-2021-34527Ejecución remota de códigoWindows 10 Version 1809 for 32-bit Systems

Cabe destacar que, aún con los parches del 21 de Junio, el ‘exploit’ podría afectar a los controladores de dominio. Es este el escenario que a día de hoy más preocupación causa, ya que permitiría el escalado de privilegios en entornos ActiveDirectory.

Para determinar si el servicio de cola de impresión se está ejecutando, ejecute lo siguiente:
Get-Service -Name Spooler

Dado que no se ha publicado un parche oficial, se recomienda aplicar las siguientes contramedidas:

Opción 1: Deshabilitar el servicio de cola de impresión

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Impacto: Deshabilitar el servicio de cola de impresión, desactiva la capacidad de imprimir tanto de forma local como remota.

Opción 2: Deshabilitar la impresión remota entrante a través de la directiva de grupo

1. Ir a "Configuración del equipo / Plantillas administrativas / Impresoras"
2. Desactivar la política "Permitir que la cola de impresión acepte conexiones de cliente" para bloquear ataques remotos.
Fuente: Hackplayers

Impacto: Esta política bloqueará el vector de ataque remoto al evitar las operaciones de impresión remota entrantes. El sistema ya no funcionará como servidor de impresión, pero la impresión local en un dispositivo conectado directamente seguirá siendo posible.

Opción 3: Restringir el acceso a directorio donde se dropean las DLLs, mediante la ejecución del siguiente script powershell

El exploit funciona colocando una DLL en un subdirectorio en C:\Windows\System32\spool\drivers. Al restringir las ACL en este directorio (y subdirectorios) podemos evitar que el servicio de cola de impresión introduzca DLL maliciosas.

$Path = "C:\Windows\System32\spool\drivers"
$Acl = (Get-Item $Path).GetAccessControl('Access')
$Ar = New-Object  System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")
$Acl.AddAccessRule($Ar)
Set-Acl $Path $Acl
PrintNightmare CVE-2021-1675 workaround ACL
Fuente: TrueSecBlog

Si los administradores necesitan realizar cambios de configuración que requieren que el servicio escriba en estos directorios, esta regla se puede eliminar temporalmente y volver a agregar después del cambio. Mas información aquí.

Impacto: Sólo mantendrá el servidor de impresión en funcionamiento en los casos en que sea estrictamente necesario.

Se recomienda realizar las comprobaciones oportunas para identificar aquellos equipos vulnerables, aplicar las contramedidas descritas y prestar especial atención a las actualizaciones sobre esta vulnerabilidad y parchear lo antes posible.

Referencias:

Vulnerabilidad grave en PLCs de Siemens podría ser explotada de manera remota y sin necesidad de autenticación.

Investigadores de la firma de ciberseguridad industrial Claroty han descubierto una vulnerabilidad grave en los controladores lógicos programables (PLCs) de Siemens, registrada bajo el ID CVE-2020-15782 se genera por una omisión de protección del sistema de memoria a través de una operación específica (y no revelada). Esto permitiría que un atacante con acceso de red a través del puerto TCP/102 pudiese acceder a áreas de memoria protegidas, escribir datos y código en áreas de la misma o leer datos confidenciales para lanzar otros ataques, como por ejemplo la ejecución de código arbitrario.

Los investigadores demostraron cómo un atacante podía eludir las protecciones y escribir shellcode directamente en la memoria protegida. Un ataque que aproveche esta vulnerabilidad sería difícil de detectar, afirman los investigadores.

La publicación del blog de Claroty describe el entorno limitado de PLC y el papel que podría desempeñar CVE-2020-15782 en un ataque.

https://thehackernews.com/images/-xnHY6Zga2hE/YLSRrrf0CFI/AAAAAAAACsA/TqlaEm-GDyAdcUW-xdtXmDDJlrEdX0g-gCLcBGAsYHQ/s0/code.jpg
Fuente: Blog Claroty

La nueva vulnerabilidad afecta los controladores PLC de las familias SIMATIC S7-1200 y S7-1500 fabricados por Siemens.

Siemens recomienda realizar las actualizaciones de firmware que ha lanzado para algunos de los dispositivos afectados y ejecutar las soluciones para productos para los que aún no se han lanzado parches, detalladas en su página oficial.

Referencias:

Vulnerabilidad XSS en el complemento ‘ReDi Restaurant Booking’ de WordPress

Se ha reportado una vulnerabilidad XSS en el plugin de WordPress «ReDi Restaurant Reservation», el cual permite a los negocios de restaurantes gestionar las reservas de sus clientes.

El investigador en ciberseguridad, Bastijn Ouwendijk, alertó el día 15 de abril a los creadores del plugin, de una vulnerabilidad de tipo Cross-Site Scripting (XSS) la cual afectaba a versiones anteriores a la 21.0307.

Registrada bajo el ID CVE-2021-24299, esta vulnerabilidad es fácil de explotar y permitiría a los atacantes no autenticados, acceder a los datos de reserva, información de clientes, e incluso, filtrar la clave API privada del plugin, almacenados en el sitio web de los propietarios de los restaurantes, simplemente enviando un fragmento de código malicioso JavaScript en el campo de comentarios de reserva.

La explotación exitosa requiere la interacción del usuario por parte de la víctima y la vulnerabilidad es catalogada de riesgo medio con una puntuación CVSSv3 de 6.3.

Se recomienda a los administradores de los sitios web, actualizar «ReDi Restaurant Reservation» a la versión 21.0426 o superior.

Referencias:

Vulnerabilidad crítica XSS en Drupal

Drupal ha liberado actualizaciones de seguridad para remediar vulnerabilidad crítica identificada como CVE-2020-13672, la API de desinfección del núcleo de Drupal no filtra correctamente las secuencias de comandos entre sitios en determinadas circunstancias.

No todos los sitios y usuarios se ven afectados, pero los cambios de configuración para evitar el exploit pueden no ser prácticos y variarán entre los sitios. Por lo tanto, es recomendable que todos los sitios sean actualizados a la última versión parchada lo antes posible.

Las versiones de afectadas son 7, 8 y 9 de Drupal y se recomienda realizar las siguientes actualizaciones para proteger los sitios web de posibles ataques:

  • Drupal 7.x, actualizar a Drupal 7.80
  • Drupal 8.9.x, actualizar a Drupal 8.9.14
  • Drupal 9.0.x, actualizar a Drupal 9.0.12
  • Drupal 9.1.x, actualizar a Drupal 9.1.7

Las versiones de Drupal 8 anteriores a la 8.9.x están al final de su vida útil y no reciben cobertura de seguridad.

Referencias:

Actualizaciones de Seguridad en Microsoft Exchange Server

Microsoft ha lanzado actualizaciones de seguridad para múltiples vulnerabilidades con severidad crítica de día cero que han sido detectadas en ataques limitados y dirigidos que explotan versiones on-premise de Microsoft Exchange Server.

Según el Blog de Microsoft, las vulnerabilidades explotadas tienen como identificador CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, estas vulnerabilidades se utilizan como parte de una cadena de ataque. Los ataques incluyen tres pasos. Primero, se obtiene acceso a un servidor Exchange ya sea con contraseñas robadas o utilizando vulnerabilidades para disfrazarse como alguien que debería tener acceso. En segundo lugar, crearía lo que se llama un shell web para controlar el servidor comprometido de forma remota. En tercer lugar, utilizaría ese acceso remoto, para robar datos de la red de una organización.

Las vulnerabilidades afectan a Microsoft Exchange Server (on-premise), pero no a Exchange Online. Las versiones vulnerables son las siguientes:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Microsoft Exchange Server 2010 no es vulnerable para este tipo de ataque, pero se ha lanzado una actualización con fines de defensa en profundidad.

Como mitigación para las vulnerabilidades, se puede proteger restringiendo las conexiones no confiables o configurando una VPN para separar el servidor Exchange del acceso externo. El uso de esta mitigación solo protegerá contra la parte inicial del ataque.

Se recomienda que los clientes apliquen las actualizaciones a los sistemas afectados de manera inmediata para protegerse contra estas vulnerabilidades y prevenir futuros abusos. Se debe priorizar la instalación de actualizaciones en los servidores Exchange que se enfrentan al exterior.

Más información:

Vulnerabilidades críticas en VMWare ESXi usadas en ataques ransomware

Las vulnerabilidades críticas con identificador CVE-2019-5544 y CVE-2020-3992 en VMware ESXi, son usadas en ataques ransomware, con el fin de cifrar discos duros de las máquinas virtuales.

El CVE-2019-5544 aborda una vulnerabilidad crítica de ejecución remota de código en OpenSLP, Protocolo de ubicación del servicio (SLP), que permite que el software ubique recursos en una red OpenSLP. Este protocolo usado en ESXi y los dispositivos Horizon DaaS, tiene un problema de sobrescritura que podría permitir que un atacante malintencionado con acceso de red al puerto 427 en un host ESXi o en cualquier dispositivo de administración de Horizon DaaS pueda sobrescribir el servicio OpenSLP, lo que da como resultado la ejecución remota de código.

En el caso de la vulnerabilidad bajo el identificador CVE-2020-3992, también es afectada OpenSLP, pero en este caso un atacante con acceso a la red de administración y con acceso al puerto 427 en una máquina ESXi puede activar un uso después de la liberación en el servicio OpenSLP, lo que resulta en la ejecución remota de código.

Según ZDNet, el ataque aprovecha de las vulnerabilidades en la que las máquinas virtuales se cierran abruptamente y luego se cifraron todos los archivos en el almacén de datos (vmdk, vmx, registros). Estos ataques han sido atribuidos a la banda RansomExx Ransomware (también conocida como Defray777). En estos casos los atacantes dejaron notas de rescate en el nivel del almacén de datos.

Se recomienda a los administradores de sistemas de las empresas que apliquen los parches ESXi publicados en sus boletines de seguridad, o deshabiliten el soporte SLP para evitar ataques si el protocolo no es necesario.

Más información:

  • https://securityaffairs.co/wordpress/114124/malware/ransomware-attack-vmware-esxi.html
  • https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/
  • https://www.vmware.com/security/advisories/VMSA-2019-0022.html
  • https://www.vmware.com/security/advisories/VMSA-2020-0023.html
  • https://www.vmware.com/security/advisories.html

Múltiples vulnerabilidades afectan el plugin ‘Popup Builder’ de WordPress

El complemento ‘Popup Builder’ ayuda a los propietarios de los sitios de WordPress a crear, personalizar y administrar los accesos rápidos, las vulnerabilidades asociadas a ‘Popup Builder’ podrían aprovecharse para enviar boletines informativos con cualquier contenido, para la inclusión de archivos locales (pero limitado a la primera línea), para importar o eliminar suscriptores y también para realizar otras acciones malintencionadas en sitios web afectados.

Descubierto por investigadores de la empresa de seguridad de sitios web WebARX, los problemas recientemente abordados son causados por la falta de autorización en la mayoría de los métodos AJAX que no comprueban la capacidad del usuario.

El complemento realiza la comprobación de un token nonce y cualquier usuario, independientemente de la capacidad, que pueda pasar la comprobación, puede ejecutar los métodos vulnerables de AJAX, ya que el token nonce se envía a todos los usuarios.

Se han detallado algunos de los métodos vulnerables, pero los investigadores de WebARX se han abstenido de publicar información sobre todos ellos, dado que un gran número de métodos se ven afectados. Sin embargo, detallan que uno de los métodos vulnerables, podría ser abusado por un usuario autenticado para enviar boletines con «contenido personalizado de cuerpo de correo electrónico, remitente de correo electrónico y varios otros atributos que esencialmente permitirán a un usuario malintencionado enviar correos electrónicos a todos los suscriptores». Para aprovechar la vulnerabilidad, un usuario tendría que iniciar sesión y tener acceso al token nonce, dicen los investigadores.

Las vulnerabilidades fueron comunicadas al desarrollador del plugin ‘Popup Builder’ a principios de diciembre de 2020. El 22 de enero de 2021 se puso a disposición la versión 3.72 que comprueba la autorización de los métodos AJAX.

Se recomienda a los administradores de páginas web, actualizar el plugin ‘Popup Builder’ a la versión 3.72 o posterior, disponible en la página oficial de WordPress.

Referencias:

DNSpooq: Vulnerabilidades en software de reenvío DNS DNSMasq

DNSpooq es un conjunto de vulnerabilidades en DNSMasq, un software de reenvío DNS que toma las solicitudes de DNS realizadas por usuarios locales, reenvía la solicitud a un servidor DNS ascendente y luego almacena en caché los resultados una vez que llegan, haciendo que los mismos resultados estén disponibles para otros clientes sin necesidad de realizar una nueva consulta DNS en sentido ascendente.

Dnsmasq es muy popular y se han identificado aproximadamente 40 proveedores que usan dnsmasq en sus productos, así como las principales distribuciones de Linux.

Cuatro vulnerabilidades identificadas con los ID CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 y CVE-2020-25687 son desbordamientos de búfer en el código Dnsmasq que podrían permitir escenarios de ejecución remota de código en el dispositivo vulnerable. La vulnerabilidad reside en las primeras etapas de la validación de DNSSEC, lo que hace que la defensa de DNSSEC contra los ataques de DNS sea ineficaz. Los desbordamientos de búfer basados ​​en el montón solo pueden conducir a la denegación de servicio cuando se utiliza DNSSEC, sin embargo no se recomienda desactivarlo, sino actualizar a la versión más reciente de Dnsmasq.

Flujo DNSSEC vulnerable

Tres vulnerabilidades identificadas con los ID CVE-2020-25684, CVE-2020-25685 y CVE-2020-25686 podrían permitir envenenamiento de caché DNS (DNS Spoofing) que reemplaza los registros DNS legítimos por otros y redirige a los usuarios a servidores maliciosos bajo control del atacante, mientras que los visitantes perciben el sitio como legítimo.

DNS Cache Poisoning

Se recomienda que los proveedores actualicen su software Dnsmasq a la última versión 2.83 o superior.

Existen otras medidas de mitigación publicadas por JSOF en su informe técnico sobre la revisión de DNSpooq, estas incluyen:

  • Consultar la versión dnsmasq que se está usando.
  • Implementar funciones de seguridad de capa 2, como la vigilancia de DHCP y protección de la IP fuente, para evitar un ataque desde la LAN.

Soluciones Parciales:

  • Deshabilitar dnsmasq no escuchar en las interfaces WAN que no es necesario en su entorno.
  • Las consultas máximas permitidas para ser reenviadas con la opción – dns-forward-max = <queries> -. El valor predeterminado es 150, pero podría reducirse.
  • Desactivar temporalmente la opción de validación de DNSSEC hasta que con se lanze un parche.de seguridad de transporte para DNS (como DoT o DoH). Esto mitigará DNSpooq pero puede tener otras implicaciones de seguridad y privacidad. Considere su propia configuración, objetivos de seguridad y riesgos antes de hacer esto.
  • Reducir el tamaño máximo de los mensajes EDNS.

Referencias:

Múltiples Vulnerabilidades en Productos Cisco

Cisco ha publicado actualizaciones de seguridad para remediar vulnerabilidades en varios de sus productos. En el peor escenario, un atacante remoto podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

Productos afectados:

  • Cisco AnyConnect Secure Mobility Client para Windows DLL versiones anteriores a las 4.9.0.4043
  • Cisco Connected Mobile Experiences (CMX) versiones 10.6.0, 10.6.1, and 10.6.2.
  • RV110W Wireless-N VPN Firewall
  • RV130 VPN Router
  • RV130W Wireless-N Multifunction VPN Router
  • RV215W Wireless-N VPN Router

Cisco AnyConnect

La vulnerabilidad en los componentes Network Access Manager y Web Security Agent de Cisco AnyConnect Secure Mobility Client para Windows, con identificador CVE-2021-1237, podría permitir que un atacante local autenticado realice un ataque de inyección de DLL. Para aprovechar esta vulnerabilidad, el atacante debería tener credenciales válidas en el sistema Windows.

Cisco Connected Mobile Experiences (CMX)

La vulnerabilidad, con identificador CVE-2021-1144, se debe al manejo incorrecto de las verificaciones de autorización para cambiar una contraseña. Un atacante autenticado sin privilegios administrativos podría aprovechar esta vulnerabilidad enviando una solicitud HTTP modificada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante alterar las contraseñas de cualquier usuario del sistema, incluido un usuario administrativo, y luego hacerse pasar por ese usuario.

Interfaz de Administración de Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers

El primer conjunto de vulnerabilidades, con identificador CVE-2021-1151, CVE-2021-1152 y CVE-2021-1153, se deben a una validación de entrada insuficiente por parte de la interfaz de administración basada en web. Un atacante podría aprovechar estas vulnerabilidades enviando solicitudes HTTP creadas a un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información sensible basada en el navegador. Para aprovechar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado.

El otro grupo de vulnerabilidades, con identificador CVE-2021-1146, CVE-2021-1147, CVE-2021-1148,  se deben a una validación incorrecta de la entrada proporcionada por el usuario en la interfaz de administración basada en web. Un atacante podría aprovechar estas vulnerabilidades enviando solicitudes HTTP diseñadas a un dispositivo de destino. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para aprovechar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado.

Se recomienda realizar las actualizaciones indicadas en el aviso de seguridad de Cisco.

Más información:

  • https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=100#~Vulnerabilities
  • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-injec-pQnryXLf
  • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmxpe-75Asy9k
  • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-stored-xss-LPTQ3EQC
  • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-command-inject-LBdQ2KRN