Noticias Destacadas

Cuatro errores de BIOS de Dell afectan a millones de dispositivos Inspiron, Vostro y Alienware.

Se revelan cuatro nuevas vulnerabilidades de seguridad en Dell BIOS, si se explotan con éxito, podrían conducir a la ejecución de código y leer ciertas secciones en sistemas vulnerables.

La primera vulnerabilidad, rastreada como CVE-2022-34401 (CVSS: 7.5), afecta a tres modelos Dell. Entre los modelos afectados con su respectiva remediación tenemos:

ProductBIOS Update Version
Alienware m15 A61.4.3
Alienware m17 Ryzen Edition R51.4.3
Dell G15 55251.4.3

Dell BIOS contiene una vulnerabilidad de desbordamiento de búfer basada en pila. Un usuario malicioso autenticado localmente puede explotar potencialmente esta vulnerabilidad mediante el uso de un SMI (interrupción de administración del sistema) para enviar una entrada más grande de lo esperado a un parámetro para obtener la ejecución de código arbitrario en SMRAM.

La segunda vulnerabilidad, rastreada como CVE-2022-34399 (CVSS 5.1), es un agujero de seguridad que existe porque los módulos del BIOS tienen una falla de acceso al búfer, que un atacante con privilegios de administrador puede explotar potencialmente al enviar una entrada más grande de lo esperado para leer ciertas secciones. Entre los modelos afectados con su respectiva remediación tenemos:

ProductVersionProductVersion
Alienware m15 A61.4.3Inspiron 35851.10.0
Alienware m15 Ryzen Edition R51.8.0Inspiron 35951.5.0
Alienware m17 Ryzen Edition R51.4.3Inspiron 37851.10.0
Dell G15 55151.8.0Vostro 34051.9.0
Dell G15 55251.4.3Vostro 34251.5.0
Inspiron 35051.9.0Vostro 35151.9.0
Inspiron 35151.9.0Vostro 35251.5.0
Inspiron 35251.5.0

La tercera y cuarta de estas vulnerabilidades, rastreadas como CVE-2022-34393 y CVE-2022-34460 ambas con CVSS de 7.5 afectan a los modelos de portátiles Dell, contienen una vulnerabilidad de validación de entrada incorrecta en el que un atacante local autenticado puede explotar potencialmente esta falla mediante el uso de un SMI para obtener la ejecución de código arbitrario en SMRAM. Entre los modelos afectados con su respectiva remediación tenemos:

ProductBIOS Update VersionProductBIOS Update Version
Dell G5 SE 55051.12.1Inspiron 54151.12.0
Inspiron 27 77752.17.0Inspiron 54852.10.1
Inspiron 31801.5.0Inspiron 5485 2-in-12.10.1
Inspiron 31851.5.0Inspiron 55051.8.1
Inspiron 3195 2-in-11.5.0Inspiron 55151.12.0
Inspiron 32751.9.1Inspiron 55852.10.1
Inspiron 34751.9.1Inspiron 73751.9.0
Inspiron 35051.8.0Inspiron 7405 2-in-11.9.1
Inspiron 35151.7.0Inspiron 74151.12.0
Inspiron 35851.9.0Vostro 34051.8.0
Inspiron 35951.4.0Vostro 35151.7.0
Inspiron 37851.9.0Vostro 54151.12.0
Inspiron 54051.8.1Vostro 55151.12.0

Dell ya lanzó actualizaciones de BIOS para los dispositivos afectados.

Recomendaciones

  • Actualizar el BIOS de los equipos a su última versión disponible lo antes posible.

Referencias

Actualización de software de Git para evitar ataques de ejecución remota de código (RCE)

Los encargados del sistema de control de versiones del código fuente Git han emitido actualizaciones para corregir dos vulnerabilidades críticas que al ser explotadas permiten a un atacante realizar ejecución remota de código.

La primera vulnerabilidad rastreada como CVE-2022-41903 (CVSS 9.8) se puede explotar enviando una entrada especialmente diseñada, esta falla puede llegar a permitir a un atacante remoto ejecutar código arbitrario en el sistema.

Al procesar los operadores de relleno (ej. %<( , %<|( , %>( , %>>( , %><( ) podría ocurrir un desbordamiento de enteros en «pretty.c::format_and_pad_commit()» donde un “size_t” se almacena incorrectamente como un “int” y luego se agrega como un desplazamiento a una llamada memcpy() posterior.

También se puede activar indirectamente a través de «git archive» mediante el mecanismo «export-subst«, que expande los especificadores de formato dentro de los archivos que se encuentran en el repositorio durante un «git archive«.

La segunda vulnerabilidad rastreada como CVE-2022-23521 (CVSS 9.8) puede ser explota a través de un archivo “gitattributes”. Los actores de amenazas pueden enviar una entrada especialmente diseñada para aprovechar esta falla y ocasionar múltiples desbordamientos de enteros cuando hay una gran cantidad de patrones de ruta, una gran cantidad de atributos para un solo patrón o cuando los nombres de los atributos declarados son muy grandes, estos desbordamientos pueden dar lugar a la ejecución remota de código.

Ambas vulnerabilidades afectan a las mismas versiones y tienen sus respectivos parches.

Versiones afectadas o inferioresVersiones parcheadas
v2.30.6v2.30.7
v2.31.5v2.31.6
v2.32.4v2.32.5
v2.33.5v2.33.6
v2.34.5v2.34.6
v2.35.5v2.35.6
v2.36.3v2.36.4
v2.37.4v2.37.5
v2.38.2v2.38.3
v2.39.0v2.39.1

Además de las dos vulnerabilidades críticas, también se corrigió una falla de alta gravedad rastreada como CVE-2022-41953 (CVSS 8.6) en la GUI de Git para Windows.

El problema específico de Windows implica una búsqueda de $PATH que incluye el directorio de trabajo actual, que se puede aprovechar para ejecutar código arbitrario al clonar repositorios con la GUI de Git

GitLab lanzó las versiones 15.7.5, 15.6.6 y 15.5.9 para GitLab Community Edition (CE) y Enterprise Edition (EE) para corregir los CVE-2022-41903 y CVE-2022-23521.

Recomendaciones

  • Se recomienda a los usuarios de Windows, macOS y Linux/Unix que actualicen a la versión más nueva de git (v2.39.1).
  • En caso de que no pueda actualizar a la última versión deshabilite «git archive» en repositorios que no son de confianza como una mitigación para CVE-2022-41903.
  • Actualizar GitLab a la última versión lo antes posible.

Referencias

OptinMonster: La vía rápida para el código arbitrario en WordPress

OptinMonster: Connection To WP & Live Campaign Preview - Ahoi, Dev!

Ha sido expuesta una vulnerabilidad para OptinMonster, para todas las versiones desde la 2.6.4 o inferiores.

El Plugin de WordPress ha sido afectado por una vulnerabilidad de alta severidad que permite el ingreso no autorizado a la API de un website con consecuencias dantescas como la divulgación de información sensible de millones de sitios en WordPress.

La vulnerabilidad, con el identificador CVE-2021-39341, fue descubierta el 28 de septiembre del 2021.

OptinMonster es uno de los plugins más populares de WordPress, entre sus funciones está convertir a los visitantes de un sitio web de visitantes a suscriptores o incluso clientes. La amenaza que conlleva esta vulnerabilidad nace de los API que se encuentran en los endpoints que permite integraciones sin fallas.

Sin embargo, la implementación de estos endpoint jamás ha sido muy segura y se presenta un caso crítco que es el de ‘/wp-json/omapp/v1/support’ endpoint.

Este endpoint puede revelar datos muy sensibles como el full path que se encuentra en un servidor, credenciales de APIs que son usadas para requerimientos en el sitio y más.

El atacante no tiene la necesidad de autenticarse en el sitio que desea atacar para acceder al API endpoint, con una solicitud HTTP podría realizar un bypass a la seguridad del sitio, para lanzar su ataque, debido a una de las funciones logged_in_or_has_api_key usadas llamada permissions_callback, si un requerimiento de un API endpoint tiene la cabecera Referer ajustada a https://wp.app.optinmonster.test y si la solicitud HTTP se colaca en OPTIONS la función retornará un «true», y de esta forma la seguridad sería vulnerable. Quién realice el ataque, siempre que conozca estos requerimientos y en la cabecera HTTP coloque X-HTTP-Method-Override para el método requerido en el REST-API endpoint (como podrían ser: GET o POST), para realizar con éxito la solicitud.

A request to the vulnerable API endpoint
Ejemplo de solicitud HTTP para un API vulnerable

Con acceso a esta API endpoint, una vez que haya sido infectada por un código malicioso JavaScript, puede realizar cambios en las campañas que se están ejecutando en el sitio atacado.

No es el único Endpoint afectado

Pese a que ‘/wp-json/omapp/v1/support’ endpoint es el API objetivo de este ataque, todos las demás REST-API que se encuentran en este plugin son vulnerables. Los atacantes pueden cambiar configuraciones, ver datos de las campañas, activas y desactivar el debug mode, y mucho más.

¿Cómo solucionarlo?

En caso de que se encuentre usando este plugin debe actualizar de inmediato a la versión más reciente es la 2.6.6.

Recomendaciones

Las vulnerabilidades aparecen sin previo aviso, por eso sugerimos:

  • Actualizar los plugins que se utilizan en el sitio web.
  • Revisar los datos de sus campañas activas.
  • Tomar acción en caso de notar actividad maliciosa en el sitio, o de presentarse sucesos no usuales.
  • Tener un respaldo del sitio web.

Para más información visite

HashThemes Demo Importer: ¡El Plugin de WordPress que puede dejarte sin sitio web!

How to Uninstall WordPress the Proper Way (Updated 2021)

El día 25 de octubre del 2021 ha comenzado la divulgación a cargo de Wordfence acerca de la vulnerabilidad con el identificador CVE-2021-39333 que se encuentra asociada al plugin HashThemes Demo Importer.

Este plugin tiene, entre sus funcionalidades, que un usuario con los privilegios adecuados pueda resetear a valores predeterminados un sitio web por completo.

En la versión 1.1.2 del plugin se presentó la vulnerabilidad misma que permite a un atacante ganar acceso de manera arbitraria y borrar el contenido del sitio sin mayor problema.

El plugin presentaba un fallo al realizar las comprobaciones de permisos para realizar varias acciones AJAX. Si bien, realiza una verificación del nonce, el correspondiente al AJAX es visible en el dashboard para todos los usuarios, incluso para aquellos con privilegios muy bajos (como un suscriptor), esto tiene como una potencial consecuencia que un usuario con una cuenta de suscriptor pueda borrar el contenido del sitio web por completo.

Cualquier usuario autenticado podría provocar la función AJAX «hdi_install_demo» y cambiar el parámetro «reset» a «true», esto desencadenaba la función data_reset del plugin. Esta función borra toda la base de datos del sitio, truncando así toda tabla de la base de datos del sitio exceptuando wp_options, wp_users y wp_usermeta. Una vez que la base de datos es vaciada, el plugin corría la función clear_uploads, esta acción derivaba en la eliminación de todo archivo y carpeta existente en wp-content/uploads.

¿Cuál es la solución?

En caso de que su sitio web utilice este plugin, se debe actualizar de inmediato el plugin HashThemes Demo Importer a la versión 1.1.4. Dicha versión cuenta con un parche de seguridad que protege al usuario de esta vulnerabilidad.

Recomendaciones

  • Se debe tener siempre un backup de nuestro sitio web, y de todas las operaciones sensibles de una compañía, pese a que la vulnerabilidad haya sido parchada en la posteridad se puede presentar nuevas vulnerabilidades asociadas a otros plugins de WordPress o, incluso, en este mismo plugin.

Para mayor información puede visitar los siguientes links:

MediaTags: Un plugin de WordPress vulnerable a ataques XSS

XSS en el plugin de WordPress 'ReDi Restaurant Booking' - Una al Día

El día 25 de octubre de 2021, se ha hecho público un exploit para realizar un Stored Cross-Site Scripting (Stored XSS). Este exploit no tiene un CVE asociado, sin embargo, este tipo de ataques también conocido como XSS Type-2 está asociado al CWE-79.

Este tipo de ataques consta en depositar un payload en el database de un website para escalar privilegios de forma no autorizada o para robar información sensible almacenada en el sitio web.

Una vez que el payload ha sido instalado con éxito se pueden realizar operaciones no autorizadas o realizar el robo de datos sensibles.

La vulnerabilidad es explotada al navegar en el plugin y usar la siguiente opción: Add Table. El payload se debe agregar en el «Media Tag Label Fields» e ingresar la data en el campo «user input».

El payload está desarrollado con JavaScript.

Al estar alojado el payload en el database de manera exitosa, cada que un usuario realice una funcionalidad que se ejecute al mismo tiempo que el payload en JavaScript se tendrá un pop-up y la explotación comienza.

No existe una remediación por ahora para esta vulnerabilidad.

Cabe destacar que no está disponible la descarga del plugin en estos momentos.

Recomendaciones:

  • Desinstalar el plugin en caso de estarlo utilizando, hasta que exista una versión que parcheé esta vulnerabilidad
  • Se puede utilizar un reemplazo como Media Library Folders que permite etiquetar imágenes y organizar los archivos multimedia de una mejor forma.

Para más información puede visitar los siguientes links:

Tres vulnerabilidades zero-day en productos Apple

Apple ha parchado tres vulnerabilidades de día cero detectadas en actualizaciones de iOS y macOS, las cuales están siendo explotadas activamente para comprometer equipos Mac, iPhone, iPad y iPod.

CVE-2021-30869

Vulnerabilidad del kernel XNU, se debe a un problema de confusión de tipos. Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del kernel.

  • Puntuación CVSS: 9.3/10.
  • Productos afectados afectados: Macs con macOS Catalina.


CVE-2021-30858

Se debe a un problema con la gestión de la memoria. Un atacante remoto podría provocar la ejecución de código arbitrario.

  • Puntuación CVSS: 6.8/10.
  • Productos afectados afectados: iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores y iPod touch (séptima generación).

CVE-2021-30860

Se debe a un desbordamiento de enteros. Un atacante podría procesar un PDF creado con fines malintencionados que puede provocar la ejecución de código arbitrario.

  • Puntuación CVSS: 6.8/10.
  • Productos afectados afectados: iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores y iPod touch (séptima generación).

Recomendaciones:

Apple recomienda realizar las siguientes actualizaciones para la vulnerabilidades mencionadas anteriormente:

Para mayor información:

¡Múltiples vulnerabilidades en distintas versiones de Drupal!

Drupal Core 9.2, 9.1, y 8.9 y 2 dos módulos contrib lanzaron actualizaciones de seguridad | Drupaler

El día 15 de septiembre del 2021, Drupal desveló que existen 5 nuevas vulnerabilidades que afectaban a las versiones 8.9, 9.1 y 9.2 del famoso CMS open-source.

A continuación, se detallan las vulnerabilidades detectadas.

Identificador de vulnerabilidadCWEDescripciónMódulo afectado
CVE-2020-13673352 En virtud de una validación deficiente de las solicitudes HTTP que se originan en el módulo Core Media de Drupal un atacante remoto puede realizar un cross-site request forgery attack. El atacante, sin usar exploit alguno, puede engañar a un usuario y de esta manera llevarlo a que realice acciones arbitrarias en una página web especialmente diseñada para simular la original.Core Media
CVE-2020-13674352A causa de esta vulnerabilidad un atacante remoto puede efectuar un cross-site request forgery attacks. En Drupal existe una validación deficiente de las solicitudes HTTP que se originan en el módulo QuickEdit. Un atacante de manera remota puede engañar a un usuario y persuadirla de visitar una página web especialmente diseñada para realizar acciones arbitrarias haciéndose pasar por él. Este ataque puede ser efectuado por un atacante no autenticado en el sitio y sin la necesidad de usar un exploit.QuickEdit
CVE-2020-13675284Debido a esta vulnerabilidad un usuario remoto puede ganar acceso a funcionalidades restringidas. La presencia de esta vulnerabilidad es debido a una restricción no apropiada del acceso al JSON:API y a los módulos REST/File mientras se realiza la validación de los archivos subidos. El usuario remoto puede realizar un bypass al proceso de validación de archivos, todo esto puede ser realizado sin un exploit.REST/File
CVE-2020-13676284Esta vulnerabilidad permite a un usuario remoto ganar acceso a información sensible. La precitada vulnerabilidad existe debido a una problemas con las restricciones de acceso con el módulo QuickEdit. Un usuario remoto puede realizar un bypass a las restricciones de seguridad implementadas y leer ciertos datos sensibles almacenados en el website. Esta vulnerabilidad no necesita de un exploit.QuickEdit
CVE-2020-13677284La presente vulnerabilidad permitía que un usuario remoto gane accesos no autorizados. Esta vulnerabilidad existe debido a una mala configuración en las restricciones de acceso al módulo JSON:API. Un usuario remoto puede hacer un bypass a las restricciones de seguridad y ganar acceso no autorizado a la aplicación. Cabe destacar que no hay un exploit para esta vulnerabilidad.JSON:API

Recomendaciones

Se recomienda actualizar Drupal a las últimas versiones disponibles, listadas aquí:

Notas importantes

Las versiones Drupal 7 no se ven afectadas. Las versiones de Drupal 8 previas a la 8.9.x y las versiones de Drupal 9 previas a la 9.1.X no reciben más actualizaciones de seguridad, recomendamos actualizar a las versionas mencionadas en el apartado ¿cuál es la solución?.

Para más información puede consultar los siguientes links:

Múltiples vulnerabilidades en productos Cisco

Graves vulnerabilidades en productos Cisco – Blog EHC Group

Cisco ha publicado un total de 15 boletines de seguridad para solucionar 16 vulnerabilidades en varios de sus productos.

Vulnerabilidad con severidad crítica:

  • CVE-2021-1577: Posee una valoración CVSS de 9.1/10. Se debe a un inadecuado control de acceso en la API de Cisco Application Policy Infrastructure Controller (APIC) y Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC). Un atacante remoto no autenticado podría cargar un archivo en un dispositivo afectado y lograr acceso de lectura y escritura a archivos arbitrarios del sistema. Esta vulnerabilidad afecta a Cisco APIC y Cisco Cloud APIC.

Vulnerabilidades con severidad alta:

  • CVE-2021-1578: Posee una valoración CVSS de 8.8/10. Se debe a una configuración predeterminada de política incorrecta en la API de APIC y Cloud APIC, permite la elevación de privilegios a Administrador en un dispositivo afectado mediante el uso de una credencial sin privilegios para Cisco ACI Multi-Site Orchestrator (MSO) para enviar una solicitud específica a la API. Esta vulnerabilidad afecta a los dispositivos Cisco APIC o Cisco Cloud APIC si ejecutan una versión de software vulnerable y se cumplen las siguientes condiciones
    • El dispositivo es administrado por Cisco ACI MSO.
    • Cisco ACI MSO es de la versión 3.0 (2d) a la versión 3.1 (1i).
    • Cisco ACI MSO está instalado en un motor de servicios de aplicaciones de Cisco.

  • CVE-2021-1579: Posee una valoración CVSS de 8.1/10. Se debe a un control de acceso basado en roles (RBAC) insuficiente en la API de APIC y Cloud APIC, podría permitir a un atacante remoto autenticado con credenciales de administrador con permisos de solo lectura elevar privilegios a administrador con permisos de escritura en el sistema afectado. Esta vulnerabilidad afecta a los dispositivos Cisco APIC y Cisco Cloud APIC si tienen aplicaciones instaladas y habilitadas con privilegios de escritura de administrador.

  • CVE-2021-1586: Posee una valoración CVSS de 8.6/10. Se debe a un problema en las configuraciones de red Multi-Pod o Multi-Site para switches Cisco Nexus de la serie 9000 en modo Application Centric Infrastructure (ACI) al no filtrar adecuadamente el tráfico TCP enviado a un puerto específico. Podría permitir que un atacante remoto no autenticado causase el reinicio del dispositivo, generando una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a los conmutadores de estructura Cisco Nexus de la serie 9000 en modo ACI si tienen varios pod o varios sitios configurados y tienen una dirección IP configurada en la spine layer Inter-Pod Network (IPN) or Inter-Site Network (ISN) interface.

  • CVE-2021-1587: Posee una valoración CVSS de 8.6/10. Vulnerabilidad en la función de operación, administración y mantenimiento de VXLAN en el software Cisco NX-OS, debido al manejo inadecuado de determinados paquetes, que podría causar una denegación de servicio por parte de un atacante remoto no autenticado. Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS, tienen habilitada la función NGOAM y están configurados con un par de canal de puerto virtual (vPC):
    • Switches de la serie Nexus 3000Switches
    • Nexus de la serie 9000 en modo NX-OS independiente

  • CVE-2021-1588: Posee una valoración CVSS de 8.6/10. Vulnerabilidad en la función de operación, administración y mantenimiento (OAM) de MPLS del software Cisco NX-OS, se debe a una validación de entrada incorrecta cuando un dispositivo afectado está procesando una solicitud de eco MPLS o un paquete de respuesta de eco, podría permitir que un atacante remoto no autenticado cause una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS y tienen la función MPLS OAM habilitada:
    • Switches Nexus de la serie 3000 ( CSCvx66765 )
    • Switches Nexus de la serie 7000 ( CSCvx48078 )
    • Switches Nexus de la serie 9000 en modo NX-OS independiente ( CSCvx66765 )

  • CVE-2021-1523: Posee una valoración CVSS de 8.6/10. Se debe a un manejo inadecuado del tráfico TCP de entrada a un puerto específico en el modo Application Centric Infrastructure (ACI) en switches Cisco Nexus de la serie 9000, que podría causar que los paquetes de tráfico de red sean puestos en cola en los búferes pero nunca sean procesados. Tras caer en esta condición de denegación de servicio, se requiere de una intervención manual para apagar y encender el dispositivo. Esta vulnerabilidad afecta a los conmutadores de estructura Cisco Nexus de la serie 9000 en modo ACI que son modelos de generación 1.
    • N9K-C9372PX-E
    • N9K-C9372TX-E
    • N9K‑C9332PQ
    • N9K-C9372PX
    • N9K-C9372TX
    • N9K-C9396PX
    • N9K-C9396TX
    • N9K‑C93128TX
    • N9K-C93120TX

Vulnerabilidades con severidad media:

  • CVE-2021-1591: Posee una valoración CVSS de 5.8/10. Evadir reglas de la lista de control de acceso ACL, se debe a la suscripción excesiva de recursos que se produce al aplicar ACL a las interfaces del canal de puerto. podría permitir que un atacante remoto no autenticado eluda las reglas de la lista de control de acceso (ACL) que están configuradas en un dispositivo afectado, podría permitir al atacante acceder a recursos de red que estarían protegidos por la ACL que se aplicó en la interfaz del canal del puerto. Esta vulnerabilidad afectaba a los switches Cisco Nexus de la serie 9500.

  • CVE-2019-1727: Posee una valoración CVSS de 4.2/10. Elevación de privilegios, se debe a una desinfección insuficiente de los parámetros proporcionados por el usuario que se pasan a determinadas funciones de Python en la zona de pruebas de secuencias de comandos del dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad para escapar del entorno limitado de secuencias de comandos y ejecutar comandos arbitrarios para elevar el nivel de privilegios del atacante. Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS:
    • Switches multicapa serie MDS 9000
    • Switches de la serie Nexus 3000
    • Switches de plataforma Nexus 3500
    • Switches de plataforma Nexus 3600
    • Switches de plataforma Nexus 5500
    • Switches de plataforma Nexus 5600
    • Switches Nexus serie 6000
    • Switches Nexus de la serie 7000
    • Switches Nexus de la serie 7700
    • Switches Nexus de la serie 9000 en modo NX-OS independiente
    • Plataforma de conmutación Nexus 9500 serie R

  • CVE-2021-1584: Posee una valoración CVSS de 6.0/10. Elevación de privilegios, se debe a restricciones insuficientes durante la ejecución de un comando CLI específico. Un atacante con privilegios administrativos podría aprovechar esta vulnerabilidad realizando un ataque de inyección de comando en el comando vulnerable, permitiendo al atacante acceder al sistema operativo subyacente como root. Esta vulnerabilidad afectaba a los conmutadores de estructura Cisco Nexus de la serie 9000 en modo ACI.

  • CVE-2021-1580, CVE-2021-1581: Posee una valoración CVSS de 6.5/10. Posee una valoración CVSS de 6.0/10. Varias vulnerabilidades en la interfaz de usuario web y los puntos finales de API de Cisco Application Policy Infrastructure Controller (APIC) o Cisco Cloud APIC podrían permitir que un atacante remoto realice una inyección de comandos o un ataque de carga de archivos en un sistema afectado. Estas vulnerabilidades afectaban a Cisco APIC y Cloud APIC.

  • CVE-2021-1582: Posee una valoración CVSS de 5.4/10. Esta vulnerabilidad se debe a una validación de entrada incorrecta en la interfaz de usuario web. Un atacante autenticado envía información maliciosa a la interfaz de usuario web, permitiendo al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz basada en web o acceder a información confidencial basada en el navegador. Esta vulnerabilidad afectaba a Cisco APIC y Cisco Cloud APIC.

  • CVE-2021-1583: Posee una valoración CVSS de 4.4/10. Esta vulnerabilidad se debe a un control de acceso inadecuado. Un atacante con privilegios de administrador ejecutando un comando vulnerable específico en un dispositivo afectado, podría permitir al atacante leer archivos arbitrarios en el sistema de archivos del dispositivo afectado. Esta vulnerabilidad afecta a los conmutadores de estructura Cisco Nexus de la serie 9000 en modo ACI.

  • CVE-2021-1590: Posee una valoración CVSS de 5.3/10. Esta vulnerabilidad se debe a un error lógico en la implementación del comando de bloqueo de inicio de sesión del sistema cuando se detecta un ataque y se actúa sobre él. Un atacante realiza un ataque de inicio de sesión de fuerza bruta en un dispositivo afectado, permitiendo al atacante provocar la recarga de un proceso de inicio de sesión, lo que podría resultar en un retraso durante la autenticación en el dispositivo afectado. Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutaban una versión vulnerable del software Cisco NX-OS y tenían configurado el comando CLI system login block-for (bloqueo de inicio de sesión del sistema).
    • Switches multicapa de la serie MDS 9000 ( CSCuz49095 )
    • Switches Nexus de la serie 3000 ( CSCuz49095 )
    • Switches de plataforma Nexus 5500 ( CSCvw45963 )
    • Switches de plataforma Nexus 5600 ( CSCvw45963 )
    • Switches Nexus serie 6000 ( CSCvw45963 )
    • Switches Nexus de la serie 7000 ( CSCuz49095 )
    • Switches Nexus de la serie 9000 en modo NX-OS independiente ( CSCuz49095 )
    • Interconexiones de estructura UCS serie 6200 ( CSCvx74585 )
    • Interconexiones de estructura UCS serie 6300 ( CSCvx74585 )

  • CVE-2021-1592): Posee una valoración CVSS de 4.3/10. Esta vulnerabilidad se debe a una gestión de recursos inadecuada para las sesiones SSH establecidas. Un atacante abre una cantidad significativa de sesiones SSH en un dispositivo afectado, esto podría permitir que el atacante provoque un bloqueo y el reinicio de los procesos internos del software Cisco UCS Manager y una pérdida temporal de acceso a la CLI y la UI web de Cisco UCS Manager. Esta vulnerabilidad afectaba a los dispositivos Cisco UCS 6400 Series Fabric Interconnects.

Cisco ha publicado en su pagina oficial las actualizaciones de software de sus productos que abordan todas las vulnerabilidades mencionadas anteriormente.

Para mayor información:

  1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-frw-Nt3RYxR2
  2. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-pesc-pkmGK4J
  3. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-chvul-CKfGYBh8
  4. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n9kaci-tcp-dos-YXukt6gM
  5. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ngoam-dos-LTDb9Hv
  6. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-mpls-oam-dos-sGO
  7. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n9kaci-queue-wedge-cLDDEfKF
  8. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-pyth-escal
  9. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-mdvul-HBsJBuvW
  10. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-scss-bFT75YrM
  11. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-naci-afr-UtjfO2D7
  12. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-naci-mdvul-vrKVgNU
  13. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nexus-acl-vrvQYPVe
  14. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-login-blockfor-RwjGVEcu
  15. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucs-ssh-dos-MgvmyrQy

AnyDesk: ¡Escalamiento de privilegios de usuario local!

AnyDesk Remote Control App Review | Appedus App Review

Las versiones de Windows 3.1.0 hasta la 6.3.2 presentan una vulnerabilidad con el identificador: CVE-2021-40854, que permite a un usuario local escalar privilegios.

¿Cómo funciona? ¿Necesita algún tipo de software adicional?

Esta vulnerabilidad solo puede ser usada de forma local, y NO necesita de ninguna herramienta adicional, un usuario puede iniciar una sesión con el ID de su propia estación y al seleccionar la opción «Open Chat Log» («Abrir historial completo de noticias» en español) tiene acceso a un bloc de notas con privilegios.

A partir de ese bloc de notas, el usuario puede abrir cualquier tipo de aplicación en el equipo con privilegios de administrador.

¿Cuál es la solución?

AnyDesk lanzó un parche para la versión 6.2.6 y también uno para la versión 6.3.3. En estas versiones NO se presenta dicha vulnerabilidad. AnyDesk recomienda que se actualicen a las versiones citadas para evitar amenazas y que usuarios no autorizados realicen operaciones prohibidas para ellos. Nosotros recomendamos actualizar a la última versión disponible hasta la publicación de este blog que es la versión 6.3.3.

Para comodidad del lector dejaremos la URL para descargar la versión 6.3.3 de AnyDesk a continuación:

https://anydesk.com/en/downloads/windows

Para información más detallada dejamos a su disposición los siguientes boletines:

Múltiples vulnerabilidades en productos Nagios XI

Se han revelado hasta 11 vulnerabilidades de seguridad en los sistemas de administración de red de Nagios, los principales problemas son dos fallas de ejecución remota de código (CVE-2021-37344, CVE-2021-37346) en Nagios XI Switch Wizard y Nagios XI WatchGuard Wizard, una vulnerabilidad de inyección SQL (CVE-2021-37350) en Nagios XI, y una falsificación de solicitud del lado del servidor (SSRF) que afecta a Nagios XI Docker Wizard, así como un RCE post-autenticado en la herramienta Auto-Discovery de Nagios XI.

La imagen tiene un atributo ALT vacío; su nombre de archivo es imagen.png
Fuente: The Hacker News

Nagios es una herramienta de monitorización de código abierto muy extendida a nivel empresarial e institucional.

Las vulnerabilidades de severidad crítica son:

  • La neutralización inadecuada de los elementos especiales utilizados en comandos del sistema operativo podría permitir a un atacante la ejecución remota de código. Se han asignado los identificadores CVE-2021-37344 y CVE-2021-37346 para estas vulnerabilidades.
  • El saneamiento inadecuado de los datos de entrada podría permitir a un atacante la inyección SQL en la herramienta de modificaciones masivas. Se ha asignado el identificador CVE-2021-37350 para esta vulnerabilidad.
  • El saneamiento inadecuado en table_population.php podría permitir a un atacante realizar ataques de SSRF. Se ha asignado el identificador CVE-2021-37353 para esta vulnerabilidad.

Los identificadores de las vulnerabilidades de severidad alta y media son: CVE-2021-37343, CVE-2021-37345, CVE-2021-37347, CVE-2021-37348, CVE-2021-37349, CVE-2021-37351 y CVE-2021-37352.

Las versiones y productos afectados son:

  • Nagios XI, versiones anteriores a la 5.8.5
  • Nagios XI Docker Wizard, versiones anteriores a la 1.1.3
  • Nagios XI WatchGuard Wizard, versiones anteriores a la 1.4.8
  • Nagios XI Switch Wizard, versiones anteriores a la 2.5.7.


El fabricante ha indicado que se debe actualizar los siguientes productos:

  •     Nagios XI, a la versión 5.8.5;
  •     Nagios XI Docker Wizard, a la versión 1.1.3;
  •     Nagios XI WatchGuard Wizard, a la versión 1.4.8;
  •     Nagios XI Switch Wizard, a la versión 2.5.7.

Para mayor información:

1 2 3 13