La nueva vulnerabilidad CVE-2022-42889 en Apache Commons Text, denominada «Text4Shell», es causada por una evaluación de secuencias de comandos insegura por parte del sistema de interpolación que podría desencadenar la ejecución de código al procesar entradas maliciosas en la configuración
Categoría: Actualidad
[SCC] Fuga de información relacionada con Microsoft
Desde SOCRadar han informado a Microsoft de un fallo de configuración en un endpoint de un sitio de almacenamiento. Este fallo permite acceder a información confidencial con un usuario no autenticado. Microsoft ha corregido este error, el endpoint se ha securizado y ahora sólo está accesible para usuarios autenticados.
En cuanto al tipo de información que es accesible, se encuentran nombres, direcciones de correo electrónico, contenido de correos, nombres de empresas, números de teléfono y archivos adjuntos. Esta información se encuentra en comunicaciones entre Microsoft y sus clientes, como por ejemplo al abrir un caso de soporte.
En cuanto a las recomendaciones y acciones a llevar a cabo, Microsoft de forma proactiva ha ido revisando la información que se ha publicado para cada organización, y ha elaborado acciones específicas. Por tanto lo que se debe hacer es acceder a https://admin.microsoft.com/AdminPortal/Home#/MessageCenter, que es el centro de mensajes, ahí aparecerá el aviso con las acciones a llevar a cabo. Si no aparece nada es que no es necesario realizar ninguna acción.
En el caso del tenant de Generalitat ya están al corriente y están llevando a cabo las medidas necesarias.
Referencias
[SCI] Múltiples vulnerabilidades en productos PLC de WAGO
Introducción
CERT@VDE[1], en colaboración con la empresa de componentes electrónicos para tecnología de automatización WAGO GmbH & Co.[2] ha reportado varias vulnerabilidades en sus controladores PFC100/PFC200, los controladores de ethernet de tercera y cuarta generación de la serie 750 y el software WAGO-I/O-PRO/CODESYS 2.3.
Análisis
La explotación de estas vulnerabilidades podría permitir a un atacante causar una denegación de servicio (DoS), eliminar archivos, acceder a comunicaciones cliente/servidor o eludir el filtrado de direcciones MAC. El aviso contiene 7 vulnerabilidades de severidad alta, 6 de severidad media y 2 de severidad crítica, las cuales tienen asignadas los siguientes identificadores:
CVE-2022-31806: En CODESYS V2 PLCWinNT y Runtime Toolkit 32 la protección por contraseña no está habilitada por defecto y no hay aviso para habilitar dicha protección en el inicio de sesión.
CVE-2022-31802: En CODESYS Gateway Server V2 sólo se compara una parte de la contraseña especificada con la contraseña real de CODESYS Gateway. Un atacante podría realizar la autenticación especificando una pequeña contraseña que coincida con la parte correspondiente de la contraseña real más larga de CODESYS Gateway.
Recomendaciones
WAGO tiene previsto disponer del parche para mitigar la vulnerabilidad de su producto WAGO I/O-PRO/CODESYS 2.3 en el cuarto trimestre de 2022, hasta entonces recomienda desconectar el puerto 2455 de CODESYS después de la puesta en marcha o, si no es posible, utilizar una contraseña de administrador robusta.
Para los demás productos afectados recomienda actualizar a la versión firmware más reciente.
CODESYS ha publicado versiones actualizadas de los productos afectados para corregir estas vulnerabilidades, que se pueden consultar en la sección Available software updates y descargar desde la página de descargas[3].
Referencias
[SCI] Múltiples vulnerabilidades en el router industrial Robustel R1510 [Actualizada]
Introducción
Francesco Benvenuto de Cisco Talos[1] ha descubierto recientemente nueve vulnerabilidades en el router industrial Robustel R1510, varias de las cuales podrían permitir que un adversario inyecte código en el sistema operativo de forma remota.
Análisis
Las vulnerabilidades críticas se han registrado con los siguientes identificadores:
CVE-2022-33325, CVE-2022-33329, CVE-2022-33312 y CVE-2022-33314: Un atacante podría inyectar comandos en el sistema operativo del router al enviar una solicitud de red especialmente diseñada.
CVE-2022-34845, CVE-2022-32585 y CVE-2022-34850: Un usuario podría ejecutar código arbitrario iniciando sesión como administrador.
CVE-2022-35261 y CVE-2022-35271: Un atacante podría enviar una solicitud de red especialmente diseñada para realizar, una denegación de servicio en la funcionalidad hashFirst del servidor web del dispositivo, pudiendo bloquearlo.
CVE-2022-28127 y CVE-2022-33897: Una atacante podría eliminar archivos arbitrarios en el servidor web del dispositivo, aunque se haya implementado una verificación de ruta transversal.
Recomendaciones
Cisco Talos ha comprobado que las versiones 3.3.0 y 3.1.16 del router Robustel R1510 son explotables con estas vulnerabilidades, con lo que recomienda actualizar los productos a sus versiones mas recientes tan pronto como sea posible.
Las siguientes reglas de Snort detectan los intentos de explotación contra esta vulnerabilidad: 60007 – 60035, 60388-60391, 60393 y 60455. Es posible que se publiquen reglas adicionales en el futuro y las reglas actuales están sujetas a cambios, a la espera de información adicional sobre la vulnerabilidad. Para obtener la información más actualizada sobre las reglas, consulte Snort.org[2] .
Referencias