Vulnerabilidades en equipos Fortinet
Fortinet hizo públicas dos vulnerabilidades que afectan a varias versiones de FortiOS en equipos Fortigate.
La vulnerabilidad bajo el identificador CVE-2020-12820 permite que un atacante remoto ejecute código arbitrario en el sistema de destino. La vulnerabilidad existe debido a un error de límite en el demonio VPN SSL. Un atacante remoto autenticado en la VPN SSL podría bloquear el demonio FortiClient NAC (fcnacd) y potencialmente ejecutar código arbitrario solicitando un nombre de archivo FortiClient grande. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable así como una denegación de servicio.
La vulnerabilidad bajo el identificador CVE-2020-12819 permite a un atacante remoto realizar un ataque de denegación de servicio (DoS). La vulnerabilidad existe debido a un error de límite en el procesamiento de mensajes del Protocolo de control de enlace en FortiOS que puede permitir que un atacante remoto con credenciales VPN SSL válidas bloquee el demonio VPN SSL enviando un paquete LCP grande, cuando el modo túnel está habilitado. La ejecución de código arbitrario puede ser teóricamente posible, aunque prácticamente muy difícil de lograr en este contexto.
Las versiones de FortiOS que son afectadas por estas vulnerabilidades son las siguientes: 5.6.0, 5.6.1, 5.6.2, 5.6.3, 5.6.4, 5.6.5, 5.6.6, 5.6.7, 5.6.8, 5.6.9, 5.6.10, 5.6.11, 5.6.12, 6.0.0, 6.0.1, 6.0.2, 6.0.3, 6.0.4, 6.0.5, 6.0.6, 6.0.7, 6.0.9, 6.0.10, 6.2.1, 6.2,2, 6.2.3, 6.2.4, 6.4.0, 6.4.1.
Para el caso de las dos vulnerabilidades el atacante debe estar autenticado, pero si usted tiene una versión afectada, Fortinet recomienda realizar las siguientes actualizaciones:
- Para versiones 5.6.x, actualizar al menos a la versión 5.6.13.
- Para versiones 6.0.x, actualizar al menos a la versión 6.0.11.
- Para versiones 6.2.x, actualizar al menos a la versión 6.2.5.
- Para versiones 6.4.x, actualizar al menos a la versión 6.4.2.
Más información:
- https://www.fortiguard.com/psirt/FG-IR-20-083
- https://www.fortiguard.com/psirt/FG-IR-20-082
Vulnerabilidad de ejecución de código en la aplicación Instagram
El equipo de Check Point ha descubierto una vulnerabilidad crítica que se puede utilizar para realizar ejecución remota de código en el teléfono de una víctima. Un atacante simplemente envía una imagen a la víctima por correo electrónico, WhatsApp u otras plataformas de intercambio de medios. Cuando la víctima abre la aplicación de Instagram, se produce la explotación.
Los investigadores de Check Point descubrieron el fallo tras realizar pruebas de fuzzing sobre librerías de código abierto no declaradas utilizadas por la aplicación. En la imagen a continuación, se puede ver que cuando carga una imagen usando Instagram, se cargan tres objetos compartidos: libfb_mozjpeg.so, libjpegutils_moz.so y libcj_moz.so.
El sufijo «moz» es la abreviatura de «mozjpeg», que es la abreviatura de Mozilla JPEG Encoder Project. El proyecto “Mozjpeg” es un proyecto de Mozilla lanzado en el 2014, en el que se anunció un codificador JPEG construido sobre libjpeg-turbo, para proporcionar una mejor compresión de imágenes web, a expensas del rendimiento. El proyecto de código abierto es específicamente para imágenes en la web.
La función vulnerable detectada por Check Point es read_jpg_copy_loop que permite un desbordamiento de memoria durante el proceso de descompresión.
Se le ha asignado el identificador CVE-2020-1895 a la vulnerabilidad que ya ha sido corregida por Facebook en la versión 128.0.0.26.128 de la aplicación, tanto para equipos Android como iOS.
Más información:
- https://www.facebook.com/security/advisories/cve-2020-1895
- https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/
- https://unaaldia.hispasec.com/2020/09/ejecucion-remota-de-codigo-en-instagram.html
- https://www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2020-1895
Vulnerabilidad crítica en productos Intel vPro permitiría a atacantes no autenticados escalación de privilegios
Intel parcheó una vulnerabilidad crítica de escalación de privilegios, registrada con ID CVE-2020-8758, la vulnerabilidad se encuentra en su tecnología de administración activa (AMT), que se utiliza para la administración remota fuera de banda de las PC.
AMT es parte de la plataforma Intel vPro (término de marketing general de Intel para su colección de tecnologías de hardware informático) y lo utilizan principalmente las tiendas de TI empresariales para la gestión remota de sistemas corporativos. La falla puede ser aprovechada por un atacante no autenticado en la misma red para escalar privilegios. El problema, encontrado internamente por los empleados de Intel, obtuvo puntaje de 9.8 sobre 10 en la escala CVSS, que lo convierte en un fallo crítico, según Intel en un aviso de seguridad.
La falla se debe a restricciones de búfer inadecuadas en un subsistema de red de componentes de terceros dentro de Intel AMT. Un factor importante que influye en la dificultad de explotar la falla es si AMT está «aprovisionado» o no. Para utilizar AMT, los sistemas deben pasar por un proceso llamado «aprovisionamiento». Este proceso se usa para conectar la computadora a un equipo remoto que se usa para administrarla (por ejemplo, insertando una unidad USB formateada especialmente).
Si se aprovisiona AMT, puede permitir que un usuario no autenticado habilite potencialmente la escalada de privilegios a través del acceso a la red. Sin embargo, un atacante necesitaría estar autenticado y tener acceso local para aprovechar la falla si el sistema AMT no está aprovisionado.
Intel AMT ha tenido problemas de seguridad antes. A principios de junio, Intel corrigió dos fallas críticas (CVE-2020-0594 y CVE-2020-0595) que existen en el subsistema IPv6 de AMT. Las fallas podrían potencialmente permitir que un usuario no autenticado obtenga privilegios elevados a través del acceso a la red. Asimismo, en 2018 se encontró otro fallo en AMT que podría haber permitido a un atacante evadir los inicios de sesión y colocar puertas traseras en las computadoras portátiles, permitiendo a los adversarios el acceso remoto a las computadoras portátiles.
Las versiones afectadas son Intel AMT e Intel ISM anteriores a 11.8.79, 11.12.79, 11.22.79, 12.0.68 y 14.0.39.
“Se recomienda que los usuarios de Intel AMT e Intel ISM actualicen a la última versión proporcionada por el fabricante del sistema que resuelve estos problemas”, según el aviso de Intel.
Referencias:
Actualización de seguridad Septiembre 2020 para Android repara 53 fallos de severidad alta y crítica
Google corrigió fallas vinculadas a 53 CVE como parte de sus actualizaciones de seguridad de septiembre para el sistema operativo Android, lanzadas el martes pasado. Como parte de esto, Qualcomm, cuyos chips se utilizan en dispositivos Android, parcheó una combinación de vulnerabilidades de gravedad alta y crítica vinculadas a 22 CVE.
«El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente Media Framework que podría permitir a un atacante remoto que utilice un archivo especialmente diseñado para ejecutar código arbitrario dentro del contexto de un proceso privilegiado«.
Android Security Team
Android Media Framework incluye soporte para reproducir una variedad de tipos de medios comunes, por lo que los usuarios pueden utilizar fácilmente audio, video e imágenes. La falla (CVE-2020-0245) permite ejecución remota de código (RCE) en las versiones de Android 8.0, 8.1 y 9, pero esa gravedad se reduce a «alta» y el impacto en cambio es la divulgación de información para la versión 10 de Android.
Los fabricantes de dispositivos Android suelen publicar sus propios parches para abordar las actualizaciones junto con el boletín de seguridad mensual o después. Samsung dijo en un comunicado de seguridad de septiembre que lanzará varios parches de boletines de seguridad de Android para los principales modelos de Samsung. Y, según un boletín, una actualización de seguridad para los dispositivos Pixel, que se ejecutan en el sistema operativo Android de Google, «llegará pronto».
Referencia:
BLURtooth y BLESA, fallos detectados en servicio de Bluetooth
Durante los últimos días se han hecho público dos fallos de seguridad que afectan al protocolo de conexión de dispositivos de corto alcance, Bluetooth.
El primero de ellos, denominado BLURtooth (CVE-2020-15802), fue descubierto de forma independiente por investigadores de la École Polytechnique Fédérale de Lausanne (EPFL) y la Universidad de Purdue. El problema existe en el proceso de emparejamiento para las versiones de Bluetooth 4.0 a 5.0. Este proceso de emparejamiento se denomina Derivación de claves de transporte cruzado (CTKD).
Hay dos tipos de protocolos Bluetooth relacionados con el ataque: el Bluetooth Classic más antiguo (también conocido como Bluetooth Basic Rate / Enhanced Data Rate, o BR / EDR) y el más nuevo Bluetooth Low Energy (BLE). Mientras que BR / EDR se utilizan principalmente para aplicaciones de audio como conexiones telefónicas inalámbricas, auriculares inalámbricos y altavoces inalámbricos, BLE se ve con más frecuencia en dispositivos portátiles, dispositivos inteligentes de IoT, equipos de monitoreo de actividad física y accesorios que funcionan con baterías, como un teclado.
El segundo fallo, denominado BLESA (CVE-2020-9770), permite ataques de suplantación de identidad que podrían afectar la forma en que los humanos y las máquinas realizan tareas. Potencialmente afecta a miles de millones de dispositivos de Internet de las cosas (IoT), dijeron los investigadores de seguridad de la Purdue University, Indiana (US).
La vulnerabilidad surge de problemas de autenticación en el proceso de reconexión del dispositivo, un área que los expertos en seguridad suelen pasar por alto. Las reconexiones ocurren después de que se conectan dos dispositivos y luego uno se mueve fuera del alcance (o se desconecta) y luego se conecta nuevamente, según un artículo publicado recientemente por investigadores de la Universidad de Purdue. Las reconexiones son comunes en entornos de IoT industriales, por ejemplo, donde los sensores pueden conectarse periódicamente a un servidor para transmitir datos de telemetría, por ejemplo, antes de desconectarse y pasar al modo de monitoreo.
El Special Interest Group, voz oficial en temas del conocido protocolo, ha pronunciado que está al tanto del fallo y que “sus soluciones a nuestras compañías miembro están siendo gestionadas para liberar rápidamente los parches necesarios”. Además, agrega que «como siempre, los usuarios de Bluetooth deben asegurarse de haber instalado las últimas actualizaciones recomendadas por los fabricantes de dispositivos y sistemas operativos«.
Referencias:
Drupal solventa fallos de seguridad presentes en su CMS
El equipo de desarrollo de Drupal ha publicado actualizaciones de seguridad importantes para su herramienta de administración de contenido de código abierto. Estas actualizaciones corrigen una vulnerabilidad moderadamente crítica, identificada como CVE-2020-13670. El boletín de seguridad sa-core-2020-011 reporta sobre los fallos de seguridad presentes en el CMS, detallando que un atacante podría obtener acceso a los metadatos de un archivo privado al que no tiene acceso adivinando el ID del archivo.
Los productos afectados son:
- CMS Drupal en sus versiones 8.8.x.
- CMS Drupal en sus versiones 8.9.x
- CMS Drupal en sus versiones 9.0.x.
Se recomienda realizar la siguiente acción con carácter inmediato: actualización del CMS Drupal a su última versión:
- Si está ejecutando Drupal 8.8.x, actualizar a Drupal 8.8.10
- Si está ejecutando Drupal 8.9.x, actualizar a Drupal 8.9.6
- Si está ejecutando Drupal 9.0.x, actualizar a Drupal 9.0.6
Tomar en cuenta que las versiones Drupal 8 anteriores a 8.8.x están fuera de soporte y no recibirán actualizaciones de seguridad. Aquellos sitios con versiones 8.7.x y anteriores, deberán ser migrados a la versión 8.8.10
Referencias:
Fallo en plugin Email Subscribers & Newsletters de WordPress Plugin permite a atacantes generar correos falsos
Más de cien mil sitios web basados en el CMS WordPress están afectados por una falla de seguridad en un complemento que ayuda a los sitios web a enviar correos electrónicos y boletines a los suscriptores. La vulnerabilidad está localizada en el plugin Email Subscribers & Newsletters, que permite a los usuarios recopilar potenciales clientes y enviar correos electrónicos automatizados de notificación de nuevas publicaciones de blog. Un atacante remoto no autenticado puede aprovechar la falla para enviar correos electrónicos falsificados a todos los destinatarios de las listas de contactos o suscriptores disponibles, con control total sobre el contenido y el asunto del correo electrónico.
La vulnerabilidad, identificada como CVE-2020-5780, registra un puntaje 7.5 sobre 10 en la escala CVSS, por lo que es de alta gravedad. Afecta a las versiones 4.5.6 y anteriores del complemento Boletines y suscriptores de correo electrónico de WordPress. El problema se debe a una vulnerabilidad de falsificación / suplantación de correo electrónico en la clase class-es-newsletters.php.
“Los usuarios no autenticados pueden enviar una solicitud ajax al gancho admin_init. Esto activa una llamada a la función process_broadcast_submission». dijo a Threatpost Alex Peña, ingeniero de investigación de Tenable.
Al manipular los parámetros de la solicitud, Peña dijo que un atacante podría programar una nueva transmisión para una lista completa de contactos, debido a la falta de un mecanismo de autenticación.
«Un usuario no autenticado no debería ser capaz de crear un mensaje de difusión», dijo al portal de noticias Threatpost.
Se ha descubierto que los complementos de WordPress están plagados de fallas durante el último mes. A principios de agosto, un complemento que está diseñado para agregar cuestionarios y encuestas a los sitios web de WordPress parcheó dos vulnerabilidades críticas. Los atacantes remotos no autenticados podrían aprovechar las fallas para lanzar diversos ataques, incluido el control total de sitios web vulnerables.
Para corregir la falla, los usuarios deben «actualizar al plugin WordPress Email Subscribers & Newsletters a la versión 4.5.6 o superior«, según los investigadores de Tenable, que descubrieron la falla, en un aviso el jueves.
Referencia:
Actualizaciones de seguridad de Microsoft para septiembre 2020 solventa 129 vulnerabilidades
Microsoft ha publicado actualizaciones de seguridad este martes para corregir un total de 129 vulnerabilidades de seguridad descubiertas recientemente, que afectan a varias versiones de sus sistemas operativos y software de la firma.
Los 129 fallos detectados fueron corregidos en varios productos de Microsoft: Windows, Edge, Internet Explorer, ChakraCore, SQL Server, Exchange Server, Office, ASP.NET, OneDrive, Azure DevOps, Visual Studio y Microsoft Dynamics. De los fallos encontrados, 23 vulnerabilidades se identificaron como críticas, 105 son importantes y 1 es de gravedad moderada. A diferencia de los recientes reportes emitidos por el gigante tecnológico de Redmond, ninguna de las vulnerabilidades han sido detectadas como explotadas activamente.
De los fallos presentados se destacan los siguientes:
CVE-2020-16875: vulnerabilidad de corrupción de memoria en el software de Microsoft Exchange. La explotación de este fallo podría permitir a un atacante ejecutar código arbitrario a nivel del sistema a través de un correo electrónico especialmente diseñado a un servidor Exchange vulnerable. Esta vulnerabilidad podría permitir a un atacante instalar programas, ver, cambiar, eliminar datos o crear cuentas nuevas.
CVE-2020-1319, CVE-2020-1129: Microsoft también corrigió dos vulnerabilidades críticas de ejecución de código remoto en la biblioteca de códecs de Windows, ambas residen en la forma de manejar los objetos en la memoria. El primero podría explotarse para obtener información que comprometa aun más el sistema o al usuario. El segundo podría utilizarse para tomar el control del sistema afectado.
La mayoría de los fallos reportados permiten exponer información del sistema o del usuario final, escalación de privilegios y ejecución de código remoto. Por el contrario, otros permiten la evasión de configuraciones de seguridad, suplantación y ataques de denegación de servicio. La lista completa de vulnerabilidades puedes consultarla en el portal de Microsoft.
Se recomienda a los usuarios finales y administradores de sistemas de Windows aplicar los últimos parches de seguridad a la brevedad posible para evitar que los ciberdelincuente tomen control de sus equipos. Para instalar actualizaciones de seguridad, acceder a Configuración → Actualización y seguridad → Actualización de Windows → Buscar actualizaciones, o en su defecto instalar las actualizaciones manualmente.
Referencias:
WhatsApp hace públicos 6 fallos de seguridad recientemente solventados
WhatsApp, aplicación de mensajería instantánea propiedad de Facebook, ha hecho público seis fallos de seguridad solventados en sus principales clientes de mensajería instantánea. Las vulnerabilidades han sido reportadas al equipo de seguridad de WhatsApp y también a través del programa de BugBounty que alberga Facebook.
A continuación, los fallos encontrados:
CVE-2020-1894: Un desbordamiento de escritura de pila presente en WhatsApp para Android para versiones previas a v2.20.35, WhatsApp Business para Android para versiones previas a v2.20.20, WhatsApp para iPhone para versiones previas a v2.20.30 y WhatsApp Business para iPhone para versiones previas a v2.20.30, podría permitir la ejecución de código arbitrario cuando reproducir un mensaje de pulsar para hablar especialmente diseñado.
CVE-2020-1891: Un fallo de límites en el tratamiento de un parámetro controlado por el usuario en las llamadas de video que podría permitir escribir en partes de la memoria restringidas en los dispositivos de 32 bits. Este fallo está presente en WhatsApp para Android anteriores a v2.20.17, WhatsApp Business para Android anteriores a v2.20.7, WhatsApp para iPhone anteriores a v2.20.20, y WhatsApp Business para iPhone anteriores a v2.20.20.
CVE-2020-1890: Un error en la validación de una URL podría permitir a un atacante cargar una imagen a través de una de un mensaje multimedia tipo ‘Sticker’ especialmente manipulado, sin necesidad de interacción del usuario. Este fallo está presente en WhatsApp para Android anteriores a v2.20.11 y WhatsApp Business para Android anteriores a v2.20.2.
CVE-2020-1889: Un problema de omisión de las funcionalidades de seguridad en versiones anteriores a v0.3.4932 en WhatsApp Desktop. Podría permitir que un atacante remoto salga del contexto de la sandbox. Este fallo podría llevar a cabo una escalada de privilegios si se combinaba con una vulnerabilidad de ejecución de código remota dentro del proceso de renderización en sandbox.
CVE-2020-1886: Un desbordamiento de memoria intermedia podría permitir a un atacante remoto escribir fuera de los límites de la memoria asignada a través de un una llamada de video especialmente manipulada. Este fallo está presente en WhatsApp para Android anteriores a v2.20.11 y WhatsApp Business para Android anteriores a v2.20.2.
Para mayor información:
Fallo crítico en plugin File Manager afecta a más de 700 mil sitios WordPress
Ayer, se actualizó el administrador de archivos del complemento de WordPress, solucionando una vulnerabilidad crítica que permite a cualquier visitante del sitio web obtener acceso completo al sitio web.
La vulnerabilidad se originó a partir de configuraciones residuales presente en la versión 6.4, presentes hace casi 4 meses, donde se cambió el nombre de un archivo para probar ciertas características. El archivo renombrado se agregó accidentalmente al proyecto en lugar de mantenerse como un cambio local. El archivo original, proporcionado por una dependencia de terceros elFinder, originalmente tenía la extensión .php.dist y debía usarse como ejemplo de código o referencia durante el desarrollo, pero el equipo del Administrador de archivos lo cambió a .php durante el desarrollo.
Este cambio permitió a cualquier usuario no autenticado acceder directamente a este archivo y ejecutar comandos arbitrarios en la biblioteca, incluida la carga y modificación de archivos, lo que finalmente dejó al sitio web vulnerable a una adquisición completa. La solución aplicada por el equipo del complemento fue eliminar este archivo, que nunca fue utilizado por el complemento en sí, y todos los demás archivos no utilizados que terminan en .php-dist para evitar que vuelva a ocurrir. Una semana antes de que se actualizara el complemento y se solucionara la vulnerabilidad, se publicó una prueba de concepto en Github, lo que indica que esto se conocía públicamente antes de que el equipo del complemento se diera cuenta.
El paquete elFinder es un administrador de archivos de código abierto para la web. Según reporta, cuenta con alrededor de 2,3 millones de instalaciones, lo que lo convierte en un paquete muy popular. Debido a su naturaleza, al ser un administrador de archivos, cualquier persona que pueda acceder a sus funciones tendrá privilegios elevados en el sitio web al modificar, cargar y eliminar archivos, pero también pretende que sea lo más fácil posible de configurar y usar. Para comenzar, todo lo que necesita hacer es cambiar el nombre de un solo archivo, según las instrucciones de instalación:
Esto facilita la prueba local y el desarrollo de funciones para el producto sin tener que alterar el entorno circundante como WordPress, pero crea una vulnerabilidad catastrófica si este archivo se deja como está en la implementación. Como archivo mínimo para ejecutar el proyecto, carece de controles de permisos y mecanismos de seguridad generales que normalmente rodearían su uso. Este exploit ganó popularidad rápidamente debido a su gran impacto y bajos requisitos, donde actualmente se ha evidenciado cientos de miles de solicitudes de actores maliciosos que intentan explotarlo según reporta Sucuri, firma de seguridad.
La recomendación de seguridad para los webmasters es actualizar File Manager a su última versión 6.9, publicada recientemente.
Referencia: