Categoría: Actualidad

Introducción

Adobe ha publicado varios parches que corrigen múltiples vulnerabilidades críticas en diferentes versiones de Acrobat Reader y Acrobat Photoshop.

 

Análisis

Entre las vulnerabilidades se encuentran 15 vulnerabilidades críticas de tipo ejecución de código remoto todas con una calificación CVSS de 7.8.

 

Versiones afectadas

• • Acrobat DC y Acrobat Reader DC, versiones 22.001.20142 y anteriores para Windows y macOS.
  • Acrobat 2020 y Acrobat Reader 2020, versiones 20.005.30334 y anteriores para Windows.
  • Acrobat 2020 y Acrobat Reader 2020, versiones 20.005.30331 y anteriores para macOS.
  • Acrobat 2017 y Acrobat Reader 2017, versiones 17.012.30229 y anteriores para Windows.
  • Acrobat 2017 y Acrobat Reader 2017, versiones 17.012.30227 y anteriores para macOS.
  • Photoshop 2021 versiones 22.5.7 y anteriores para Windows and macOS.
  • Photoshop 2022 versiones 23.3.2 y anteriores para Windows and macOS.

 

Recomendaciones

Adobe recomienda a los usuarios que actualicen sus instalaciones de software a las últimas versiones disponibles.

 

Referencias

 

https://helpx.adobe.com/security/products/acrobat/apsb22-32.html

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/actualizacion-seguridad-adobe-photoshop-acrobat-y-reader

Introducción
Microsoft ha publicado parches para 128 vulnerabilidades con numeración CVE. Tres de ellas son vulnerabilidades de ejecución remota de código (CVE-2022-26809, CVE-2022-24491, CVE-2022-24497) con una puntuación CVSS de 9,8 [1].

Análisis

CVE-2022-26809 [2]

Esta vulnerabilidad se encuentra en la funcionalidad de Microsoft Server Message Block (SMB). El protocolo SMB se utiliza principalmente para compartir archivos y para la comunicación entre procesos, incluidas las llamadas a procedimientos remotos (RPC). Utilizando la vulnerabilidad, un atacante puede crear una RPC especialmente diseñada para ejecutar código en el servidor remoto con los mismos permisos que el servicio RPC. Microsoft recomienda configurar algunas reglas del firewall [3] para ayudar a evitar que esta vulnerabilidad sea explotada. Sin embargo, para los clientes que requieren esta funcionalidad, esta guía tiene una eficacia limitada.

CVE-2022-24491 y CVE-2022-24497 [4][5]

En sistemas donde el rol NFS está habilitado, un atacante remoto podría ejecutar su código en un sistema afectado con altos privilegios y sin interacción del usuario. Al igual que en el caso de RPC, esto suele bloquearse en el perímetro de la red. Sin embargo, Microsoft proporciona una guía sobre cómo el multiplexor de puertos RPC (puerto 2049) «es amigable con los firewall y simplifica el despliegue de NFS». Compruebe sus instalaciones y despliegue estos parches rápidamente.

Recomendaciones

Aplique los parches de Microsoft. Aplique también si procede las configuraciones de firewall recomendadas en [3]

Referencias

 

[1] Microsoft fixes actively exploited zero-day reported by the NSA (CVE-2022-24521) – Help Net Security

[2] CVE-2022-26809 – Security Update Guide – Microsoft – Remote Procedure Call Runtime Remote Code Execution Vulnerability

[3] Secure SMB Traffic in Windows Server | Microsoft Docs

[4] CVE-2022-24491 – Security Update Guide – Microsoft – Windows Network File System Remote Code Execution Vulnerability

[5] CVE-2022-24497 – Security Update Guide – Microsoft – Windows Network File System Remote Code Execution Vulnerability

Introducción
El pasado día 29 y 30 de marzo se detectaron dos vulnerabilidades que afectan a complementos de Spring. Uno es Spring Cloud y el otro es Spring Core. La vulnerabilidad de Spring Cloud tiene el identificador CVE-2022-22963, y la de Spring Core CVE-2022-22965. En ambas vulnerabilidades se permitiría a los atacantes ejecutar código arbitrario en la máquina y comprometer todo el host.

 

Análisis

La vulnerabilidad de Spring Cloud permite utilizar el parámetro spring.cloud.function.routing-expression de la cabecera de petición HTTP y la expresión SpEL para ser inyectada y ejecutada a través de StandardEvaluationContext.

Utilizando la funcionalidad de enrutamiento, es posible que un usuario proporcione una expresión de Spring Expression Language (SpEL) especialmente elaborada como expresión de enrutamiento para acceder a recursos locales y ejecutar comandos en el host.

Dado que Spring Cloud Function puede utilizarse en funciones sin servidor de la nube como AWS lambda o Google Cloud Functions, estas funciones también podrían verse afectadas.

Las versiones de Spring Cloud Function afectadas son las siguientes:

• • • 3.1.6
    • 3.2.2
    • Las versiones más antiguas y no soportadas también se ven afectadas.

Explotando la vulnerabilidad es posible lograr el compromiso total del host o contenedor ejecutando comandos arbitrarios.

Según el sistema CVSS, tiene una puntuación de 9,0 como gravedad ALTA.

La vulnerabilidad de Spring Core parece afectar a las funciones que utilizan la anotación RequestMapping y los parámetros POJO (Plain Old Java Object). En ciertas configuraciones, la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable. Sin embargo, la explotación de diferentes configuraciones requerirá que el atacante realice una investigación adicional para encontrar cargas útiles que sean efectivas. Esta vulnerabilidad permite que un atacante no autenticado ejecute código arbitrario en el sistema de destino.
Las versiones de Spring Core afectadas son las siguientes:

• • • JDK >=9

 

Recomendaciones

Para solucionar la vulnerabilidad de Spring Cloud, debería actualizar la aplicación a las versiones más recientes 3.1.7 y 3.2.3

Para solucionar la vulnerabilidad de Spring Core, se recomienda en primer lugar actualizar la aplicación a las versiones más recientes 5.3.18 o 5.2.20 dependiendo de la versión que el usuario utilice. Además hay 2 formas de mitigarla de forma temporal (WAF y en el Código Java). Se pueden encontrar en el enlace [2].

 

 

Referencias

[1] https://tanzu.vmware.com/security/cve-2022-22963

[2] https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html

[3] https://tanzu.vmware.com/security/cve-2022-22965

[4] https://sysdig.com/blog/cve-2022-22965-spring-core-spring4shell/

[5] https://unit42.paloaltonetworks.com/cve-2022-22965-springshell/

Introducción
Google publicó el viernes una actualización seguridad para abordar una vulnerabilidad de alta gravedad en el navegador Chrome que, según se indicó, se está explotando activamente.

Análisis

Rastreada como CVE-2022-1096 , la falla de día cero se relaciona con una vulnerabilidad de confusión de tipos en el motor JavaScript V8.

Los errores de confusión de tipos, que surgen cuando se accede a un recurso (p. ej., una variable o un objeto) utilizando un tipo que es incompatible con el que se inicializó originalmente, esto podría tener graves consecuencias en lenguajes que no son seguros para la memoria como C y C++, lo que permite un uso malicioso.

«Cuando se accede a un búfer de memoria utilizando el tipo incorrecto, este podría leer o escribir fuera de los límites del búfer de memoria. Si el búfer asignado es más pequeño que el tipo al que intenta acceder el código, provocaría un bloqueo y posiblemente el código ejecución», explica el Common Weakness Enumeration (CWE) de MITRE .

El gigante tecnológico reconoció que es «consciente de que existe un exploit para CVE-2022-1096″, el cual no llegó a compartir detalles adicionales para evitar una mayor explotación y hasta que la mayoría de los usuarios se actualicen con una solución.

CVE-2022-1096 es la segunda vulnerabilidad de día cero abordada por Google en Chrome desde principios de año, siendo la primera CVE-2022-0609, una vulnerabilidad de uso posterior en el componente que se parchó el 14 de febrero del 2022.

A principios de esta semana, el Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google reveló detalles de una campaña gemela organizada por grupos de estados-nación de Corea del Norte que usaron la falla como arma para atacar a organizaciones con sede en EE. UU. que abarcan industrias de medios de comunicación, TI, criptomonedas y tecnología financiera.

Recomendaciones

Se recomienda a los usuarios de Google Chrome que actualicen a la última versión 99.0.4844.84 para Windows, Mac y Linux para eliminar cualquier amenaza potencial.

También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Referencias
[1] https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html