Posted on

Vulnerabilitat crítica en VMware vCenter Server

VMware ha publicat pedaços per a corregir una vulnerabilitat de seguretat crítica en vSphere Client (HTML5) l’explotació de la qual permetria l’execució remota d’un codi arbitrari en el servidor per part d’un atacant no autenticat.

Anàlisi

La vulnerabilitat crítica d’aquest butlletí s’ha registrat amb l’identificador CVE-2021-21985 (1) i amb una puntuació CVSS de 9.8; aquesta puntuació es deu en part a la baixa complexitat d’explotació d’aquesta.

El problema es deu a l’absència de validació d’entrades en el complement Virtual SAN (vSAN) Health Check, que està habilitat de manera predeterminada en vCenter Server. Un actor malintencionat amb accés al port 443 pot aprofitar el problema per a executar comandaments amb privilegis il·limitats en el sistema operatiu subjacent que allotja vCenter Server.

Cal comentar que els pedaços de seguretat publicats per VMware també corregeixen una altra vulnerabilitat, de criticitat mitjana, per un problema d’autenticació en vSphere Client que afecta Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager i VMware Cloud Director Availability plug-ins. Aquest problema permet que un actor malintencionat amb accés al port 443 en vCenter Server puga realitzar, sense autenticació, accions permeses pels complements afectats. Aquesta vulnerabilitat té identificador CVE-2021-21986 (2) i una puntuació CVSS de 6.5.

Productes afectats

    • Versions 6.5, 6.7 i 7.0 de vCenter Server
    • Versions 3.x i 4.x de Cloud Foundation

Recomanacions

Es recomana aplicar les actualitzacions o les solucions alternatives que indiquen des de VMware en el següent enllaç:

Referències

(1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21985
(2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21986
(3)https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-vmware-vcenter-server-expone-sistemas-afectados/

Posted on

Vulnerabilitats en aplicacions de QNAP

El passat 19 de maig es van publicar dues vulnerabilitats, alta i mitjana, respectivament, que afecten les aplicacions MusicStation i MalwareRemove de QNAP. L’explotació d’aquestes permetrien l’execució de codi remot preautenticat sobre els productes afectats.

Anàlisi

La primera vulnerabilitat es localitza en l’aplicació MusicStation, aquesta compta amb una API per a carregar caràtules d’un àlbum de música en el dispositiu. Aquesta API rep el paràmetre “arttype” des d’una petició HTTP de l’usuari. Després de verificar que incloga un fitxer amb una extensió d’imatge vàlida (JPEG, JPG, PNG), afig al nom del fitxer un identificador aleatori usant la funció uniqid de PHP i l’emmagatzema en el dispositiu. Una petició amb un arttype preparat pot controlar la ruta on s’emmagatzemarà el fitxer, ja que l’aplicació s’executa per defecte amb privilegis de root. Aquest problema de seguretat ha rebut l’identificador CVE-2020-36197 (1) i ha sigut puntuada amb un CVSS de 7.1.

La segona vulnerabilitat té assignat l’identificador CVE-2020-36198 (2) amb una puntuació CVSS de 6.7. Es localitzada en l’aplicació MalwareRemover. Aquesta aplicació està dissenyada per a protegir contra software nociu i executa un escàner de malware a través de «cronjobs» periòdicament. A diferència de l’anterior, aquesta es troba de sèrie en QNAP, i no es pot eliminar des de QNAP App Center per motius de seguretat. L’explotació permetria als atacants remots executar codi arbitrari amb privilegis d’administrador.

Cal remarcar també la importància d’aplicar les actualitzacions de seguretat en aquests dispositius, perquè les còpies hui dia són de vital importància per a qualsevol usuari, corporatiu o no, davant la tendència a l’alça d’atacs ransomware i similars que afecten la disponibilitat, integritat i confidencialitat de la informació d’un sistema.

Productes afectats

– Relacionats amb MusicStation

    • Versions de Music Station anteriors a 5.3.16 en QTS 4.5. 2
    • Versions anteriors a 5.2.10 en QTS 4.3.6
    • Versions anteriors a 5.1.14 en QTS 4.3.3
    • Versions anteriors a 5.3.16 en QuTS hero h4.5.2
    • Versions anteriors a 5.3.16 en QuTScloud c4.5.4

– Relacionats amb MalwareRemover

    • Versions anteriors a 4.6.1.0 de MalwareRemover.
    • Aquest problema no afecta a QNAP Systems Inc. Malware Remover 3.x.

Recomanacions

Es recomana actualitzar QNAP MusicStation i MalwareRemover a l’última versió disponible.

Referències

(1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36197
(2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36198
(3) https://unaaldia.hispasec.com/2021/05/nuevas-vulnerabilidades-en-aplicaciones-de-qnap.html

Posted on

Butlletí 08/05/2021 – 21/05/2021

Com cada quinzena, portem les principals notícies relacionades amb la ciberseguretat.

Obrim el butlletí amb la notícia de major impacte de la quinzena: un ciberatac ha bloquejat temporalment un oleoducte que proveïa de combustible al 45% de l’est dels Estats Units. Com ha sigut l’impacte de l’aturada, que el mateix Joe Biden va fer declaracions públiques sobre aquest tema i es va veure obligat a declarar l’estat d’emergència. L’atac utilitzat sembla ser un ransomware.

I és que, precisament, a causa de la constant evolució dels atacs ransomware, recentment s’ha encunyat el nou terme “ransomware de triple extorsió”, el qual fa referència a la nova tendència que inclou robatori de dades, recompensa econòmica i (principal novetat) xantatge als clients. Si fins ara per a moltes organitzacions resultava increïblement costós patir la pèrdua de les seues dades, i no eren capaces d’afrontar el pagament del rescat, ara se suma el possible dany potencial al qual s’exposen els seus usuaris i clients en exposar les seues dades. Un recent exemple d’aquests atacs de triple extorsió ha sigut el patit per The Phone House.

Altres exemples de ransomwares recents són:

El nivell de preocupació que està causant el ransomware és tan important, que fins i tot fòrums de temàtica hacker estan censurant compartir informació sobre aquests atacs, en un intent de mitigar el seu impacte.

Però no tot són males notícies en aquest butlletí: per a tots els que ho esperàveu amb ànsia, la setmana passada vam publicar el nostre informe anual d’activitat 2020 on exposem les principals fites aconseguides per CSIRT-CV durant l’any passat. Conté informació tant dels principals atacs gestionats i la seua tipologia com de l’abast de serveis tan capdavanters com el Pla Valencià de Capacitació, o l’assistència a víctimes de fraus al CEO o atacs ransomware, tan de moda en 2020.

Seguint amb les bones notícies, Alemanya ha tombat un dels majors llocs de pornografia infantil (Boystown) de tota la Darknet amb més de 400.000 usuaris. Els acusats de la seua administració eren 3 ciutadans alemanys d’entre 40 i 58 anys, a més d’un quart acusat de ser un dels principals proveïdors de contingut.

Quant a les actualitzacions rellevants, ha sigut una quinzena molt moguda:

Tanquem el butlletí convidant els nostres lectors a visitar la publicació en concienciaT, amb motiu del Dia d’Internet, celebrat el passat 17 de maig, on hem fet un recopilatori de materials i continguts oferits a la ciutadania per a fer un ús més segur d’Internet.

Posted on

Actualitzacions de seguretat de Microsoft – Maig 2021

Com el segon dimarts de cada mes, Microsoft va llançar el conjunt d’actualitzacions de seguretat corresponents al mes de maig. La publicació d’actualitzacions consta de 55 vulnerabilitats, classificades 4 com a crítiques, 50 com a importants i 1 com a moderada. Després d’analitzar les vulnerabilitats, una de les més destacades, està relacionada amb la pila del protocol HTTP (http.sys), que permetria realitzar una denegació del servei o bé l’execució de codi en el servidor afectat.

Anàlisi

Microsoft va informar i va remeiar una vulnerabilitat crítica amb identificador CVE-2021-31166 (1) existent en la implementació de la pila del protocol HTTP (http.sys). Amb una puntuació CVSS de 9.8, la vulnerabilitat anunciada té el potencial de tindre un impacte directe i també és excepcionalment fàcil d’explotar, la qual cosa porta a una denegació de servei remota i sense necessitat d’autenticació sobre els productes afectats. A més, ja existeixen proves d’explotació (POC) sobre aquella (2).

El problema es deu al fet que Windows realitza un seguiment incorrecte dels punters mentre processa objectes en paquets de xarxa que contenen sol·licituds HTTP. Com a HTTP.SYS s’implementa com un controlador del kernel, l’explotació d’aquest error donarà com a resultat almenys una pantalla blava (BSoD) i, en el pitjor dels casos, l’execució remota de codi. Fins i tot s’esmenta en el report de la companyia que el problema de seguretat podria usar-se per a crear cucs de xarxa que salten d’un servidor a un altre i, per tant, recomanen prioritzar els pedaços dels servidors afectats.

Productes afectats

    • Windows Server, versió 20H2
    •  Windows Server, versió 2004
    •  Windows 10, versió 20H2
    •  Windows 10, versió 2004

No obstant això, en el butlletí de seguretat es reflecteixen més vulnerabilitats. Per tant es recomana seguir amb els cicles d’actualització de Windows en equips client i servidors aplicant les actualitzacions de seguretat per a aquests. Tota la informació de les vulnerabilitats corregides d’aquest mes les poden trobar en els enllaços següents:

Recomanacions

Es recomana aplicar les actualitzacions de seguretat proporcionades per Microsoft sobre els productes afectats com més prompte millor.

Referències

(1) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166
(2) https://github.com/0vercl0k/CVE-2021-31166
(3) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-microsoft-mayo-2021