Categoría: Actualidad

Introducción

Lenovo ha publicado correcciones de seguridad para solucionar tres vulnerabilidades en el firmware UEFI de más de 70 modelos portátiles de la marca. [1]

 

 

Análisis

A continuación se muestra la lista de vulnerabilidades en la BIOS de los portátiles de Lenovo:

• • CVE-2022-1890: Se ha identificado un desbordamiento de búfer en el controlador ReadyBootDxe de algunos productos para portátiles de Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.
  • CVE-2022-1891: Se ha identificado un desbordamiento del búfer en el controlador SystemLoadDefaultDxe en algunos productos de portátiles Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.
  • CVE-2022-1892: Se ha identificado un desbordamiento de búfer en el controlador SystemBootManagerDxe en algunos productos de portátiles Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.

La causa principal de estas vulnerabilidades es la insuficiente validación del parámetro DataSize, que se pasa a la función GetVariable de UEFI Runtime Services. Los actores de la amenaza pueden explotar el fallo creando una variable NVRAM especialmente manipulada, desencadenando el desbordamiento del búfer Data en la segunda llamada GetVariable.

 

 

Recomendaciones

Se recomienda la actualización de los dispositivos afectados a la última versión del firmware. La lista de modelos afectados por las tres vulnerabilidades y las actualizaciones de firmware se indican en la página de soporte de Lenovo. [2]

 

 

Referencias

 

[1] https://securityaffairs.co/wordpress/133186/security/lenovo-uefi-firmware-flaws.html
[2] https://support.lenovo.com/sk/en/product_security/len-91369

Introducción

Adobe ha publicado varios parches que corrigen múltiples vulnerabilidades críticas en diferentes versiones de Acrobat Reader y Acrobat Photoshop.

 

Análisis

Entre las vulnerabilidades se encuentran 15 vulnerabilidades críticas de tipo ejecución de código remoto todas con una calificación CVSS de 7.8.

 

Versiones afectadas

• • Acrobat DC y Acrobat Reader DC, versiones 22.001.20142 y anteriores para Windows y macOS.
  • Acrobat 2020 y Acrobat Reader 2020, versiones 20.005.30334 y anteriores para Windows.
  • Acrobat 2020 y Acrobat Reader 2020, versiones 20.005.30331 y anteriores para macOS.
  • Acrobat 2017 y Acrobat Reader 2017, versiones 17.012.30229 y anteriores para Windows.
  • Acrobat 2017 y Acrobat Reader 2017, versiones 17.012.30227 y anteriores para macOS.
  • Photoshop 2021 versiones 22.5.7 y anteriores para Windows and macOS.
  • Photoshop 2022 versiones 23.3.2 y anteriores para Windows and macOS.

 

Recomendaciones

Adobe recomienda a los usuarios que actualicen sus instalaciones de software a las últimas versiones disponibles.

 

Referencias

 

https://helpx.adobe.com/security/products/acrobat/apsb22-32.html

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/actualizacion-seguridad-adobe-photoshop-acrobat-y-reader

Introducción
Microsoft ha publicado parches para 128 vulnerabilidades con numeración CVE. Tres de ellas son vulnerabilidades de ejecución remota de código (CVE-2022-26809, CVE-2022-24491, CVE-2022-24497) con una puntuación CVSS de 9,8 [1].

Análisis

CVE-2022-26809 [2]

Esta vulnerabilidad se encuentra en la funcionalidad de Microsoft Server Message Block (SMB). El protocolo SMB se utiliza principalmente para compartir archivos y para la comunicación entre procesos, incluidas las llamadas a procedimientos remotos (RPC). Utilizando la vulnerabilidad, un atacante puede crear una RPC especialmente diseñada para ejecutar código en el servidor remoto con los mismos permisos que el servicio RPC. Microsoft recomienda configurar algunas reglas del firewall [3] para ayudar a evitar que esta vulnerabilidad sea explotada. Sin embargo, para los clientes que requieren esta funcionalidad, esta guía tiene una eficacia limitada.

CVE-2022-24491 y CVE-2022-24497 [4][5]

En sistemas donde el rol NFS está habilitado, un atacante remoto podría ejecutar su código en un sistema afectado con altos privilegios y sin interacción del usuario. Al igual que en el caso de RPC, esto suele bloquearse en el perímetro de la red. Sin embargo, Microsoft proporciona una guía sobre cómo el multiplexor de puertos RPC (puerto 2049) «es amigable con los firewall y simplifica el despliegue de NFS». Compruebe sus instalaciones y despliegue estos parches rápidamente.

Recomendaciones

Aplique los parches de Microsoft. Aplique también si procede las configuraciones de firewall recomendadas en [3]

Referencias

 

[1] Microsoft fixes actively exploited zero-day reported by the NSA (CVE-2022-24521) – Help Net Security

[2] CVE-2022-26809 – Security Update Guide – Microsoft – Remote Procedure Call Runtime Remote Code Execution Vulnerability

[3] Secure SMB Traffic in Windows Server | Microsoft Docs

[4] CVE-2022-24491 – Security Update Guide – Microsoft – Windows Network File System Remote Code Execution Vulnerability

[5] CVE-2022-24497 – Security Update Guide – Microsoft – Windows Network File System Remote Code Execution Vulnerability

Introducción
El pasado día 29 y 30 de marzo se detectaron dos vulnerabilidades que afectan a complementos de Spring. Uno es Spring Cloud y el otro es Spring Core. La vulnerabilidad de Spring Cloud tiene el identificador CVE-2022-22963, y la de Spring Core CVE-2022-22965. En ambas vulnerabilidades se permitiría a los atacantes ejecutar código arbitrario en la máquina y comprometer todo el host.

 

Análisis

La vulnerabilidad de Spring Cloud permite utilizar el parámetro spring.cloud.function.routing-expression de la cabecera de petición HTTP y la expresión SpEL para ser inyectada y ejecutada a través de StandardEvaluationContext.

Utilizando la funcionalidad de enrutamiento, es posible que un usuario proporcione una expresión de Spring Expression Language (SpEL) especialmente elaborada como expresión de enrutamiento para acceder a recursos locales y ejecutar comandos en el host.

Dado que Spring Cloud Function puede utilizarse en funciones sin servidor de la nube como AWS lambda o Google Cloud Functions, estas funciones también podrían verse afectadas.

Las versiones de Spring Cloud Function afectadas son las siguientes:

• • • 3.1.6
    • 3.2.2
    • Las versiones más antiguas y no soportadas también se ven afectadas.

Explotando la vulnerabilidad es posible lograr el compromiso total del host o contenedor ejecutando comandos arbitrarios.

Según el sistema CVSS, tiene una puntuación de 9,0 como gravedad ALTA.

La vulnerabilidad de Spring Core parece afectar a las funciones que utilizan la anotación RequestMapping y los parámetros POJO (Plain Old Java Object). En ciertas configuraciones, la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable. Sin embargo, la explotación de diferentes configuraciones requerirá que el atacante realice una investigación adicional para encontrar cargas útiles que sean efectivas. Esta vulnerabilidad permite que un atacante no autenticado ejecute código arbitrario en el sistema de destino.
Las versiones de Spring Core afectadas son las siguientes:

• • • JDK >=9

 

Recomendaciones

Para solucionar la vulnerabilidad de Spring Cloud, debería actualizar la aplicación a las versiones más recientes 3.1.7 y 3.2.3

Para solucionar la vulnerabilidad de Spring Core, se recomienda en primer lugar actualizar la aplicación a las versiones más recientes 5.3.18 o 5.2.20 dependiendo de la versión que el usuario utilice. Además hay 2 formas de mitigarla de forma temporal (WAF y en el Código Java). Se pueden encontrar en el enlace [2].

 

 

Referencias

[1] https://tanzu.vmware.com/security/cve-2022-22963

[2] https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html

[3] https://tanzu.vmware.com/security/cve-2022-22965

[4] https://sysdig.com/blog/cve-2022-22965-spring-core-spring4shell/

[5] https://unit42.paloaltonetworks.com/cve-2022-22965-springshell/