Publicado el

Actualizaciones de seguridad para el core de Drupal

Recientemente Drupal ha publicado actualizaciones de seguridad para las versiones 8 y 9. En estas actualizaciones se corrigen 5 vulnerabilidades catalogadas con criticidad media. La versión 7 de Drupal no se ve afectada.

Análisis
Existen 2 vulnerabilidades que afectan al módulo QuickEdit, una de ellas (CVE-2020-13674) se produce porque no se validan correctamente los accesos a rutas, y podría provocar una fuga de información. La vulnerabilidad es de tipo cross-site request forgery (CSRF). La otra vulnerabilidad que afecta a este módulo, ocurre debido a que no se comprueban correctamente los accesos a algunos campos, y podría revelarse la información de los mismos.

Por otro lado existe una vulnerabilidad, en el módulo Drupal core media, de tipo inyección de código. Un atacante sin privilegios podría inyectar código en una página web, cuando otro usuario con privilegios accede a ella.

El módulo JSON:API tiene dos vulnerabilidades, una de ellas permite subir archivos a través de la API, y otra no restringe el acceso a algunos contenidos de forma correcta.

Por último el módulo REST/File presenta una vulnerabilidad que podría permitir la subida de archivos eludiendo el proceso de validación.

Recomendaciones
Actualizar la versión de Drupal de la siguiente forma:

    • Drupal 9.2, a la versión 9.2.6
    • Drupal 9.1, a la versión 9.1.13
    • Drupal 8.9, a la versión 8.9.19

Referencias
(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-1
(2) https://www.drupal.org/security
(3) https://tweakers.net/downloads/57448/drupal-8919-9113-926.html

Publicado el

Actualizaciones de seguridad de Microsoft

Microsoft ha publicado el parche de seguridad del mes de septiembre donde soluciona 86 vulnerabilidades, entre las que se encuentran algunas clasificadas como críticas.

Análisis
Dentro de las vulnerabilidades críticas encontramos las siguientes:

Una vulnerabilidad que aparecía en una alerta previa enviada por CSIRT-CV, el día 08/09/2021. Tiene asignado el CVE-2021-40444. Afecta al componente MSHTML que se utiliza en Internet Explorer para realizar funciones básicas como el filtrado y el renderizado de los documentos web, HTML, y hojas de estilo en cascada. Un atacante podría ejecutar código de forma remota utilizando un documento de office especialmente diseñado que se aprovecharía de esta vulnerabilidad.

Otra de ellas afecta a Azure Open Management Infrastructure, es de tipo ejecución remota de código y tiene un CVSS de 9.8. Tiene asignado el CVE-2021-38647.

Por último existe otra vulnerabilidad que afecta al servicio WLAN AutoConfig, también es de tipo ejecución remota de código. Un atacante podría explotarla con éxito en un red adyacente, sin tener privilegios de administrador y sin interacción del usuario. Tiene asignado el CVE-2021-36965 y un CVSS de 8.8.

Recomendaciones
Microsoft ha parcheado todas estas vulnerabilidades por lo que recomendamos que se instalen las actualizaciones en cuanto estén disponibles.

Referencias
(1) https://isc.sans.edu/forums/diary/Microsoft+September+2021+Patch+Tuesday/27834/
(2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-38647
(3) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36965
(4)https://www.zdnet.com/article/microsoft-september-2021-patch-tuesday-remote-code-execution-flaws-in-mshtml-open-management-fixed/

Publicado el

Actualización de seguridad para WordPress

WordPress ha publicado una actualización de seguridad y mantenimiento que parchea 3 vulnerabilidades y corrige 60 errores.

Análisis
De entre las vulnerabilidades corregidas, una de ellas es una fuga de información que afecta a la API REST. Otra vulnerabilidad se trata de un Cross-site scripting (XSS) en el editor de bloques. Por último, la tercera de ellas, es una actualización de la librería lodash que incorpora correcciones de seguridad.

Durante el periodo de testeo beta, se solucionaron 2 vulnerabilidades que afectaban al editor de bloques, una de tipo XSS y otra de escalada de privilegios.

Recomendaciones
– Actualizar a la versión 5.8.1

Referencias
(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-581-wordpress
(2) https://www.securityweek.com/wordpress-581-patches-several-vulnerabilities
(3) https://wordpress.org/news/2021/09/wordpress-5-8-1-security-and-maintenance-release/

Publicado el

Plan de choque de ciberseguridad de las Entidades Locales

Como consecuencia de los últimos ciberataques contra municipios de la Comunidad Valenciana, el Pleno del Consell ha aprobado con fecha 19 de Junio de 2021 la adjudicación a la empresa S2 Grupo de Innovación en Procesos Organizativos SL de un contrato de emergencia para prestar los servicios del Plan de Choque de Ciberseguridad para las Entidades locales de la Comunitat Valenciana, que se adecue a las características y riesgos de los municipios y desarrolle las medidas de protección, mejora de seguridad, implantación y soporte técnico necesarias, además de ayudar a dichas entidades en el cumplimiento de las obligaciones derivadas del Esquema Nacional de Seguridad.

Según se puede ver en la propia página de la DGTIC, dicho plan tendrá una duración de un año y busca dotar a todas las entidades locales de la Comunitat, -muchas de las cuales carecen de personal con conocimientos específicos de ciberseguridad-, de los elementos y procesos necesarios para mejorar sus capacidades en este ámbito.

El plan, que ya ha dado comienzo contactando con dichas entidades para recabar información, cuenta además con la colaboración del CCN-CERT y de la Dirección general de Administración Local y tiene como objetivo, en primer lugar desplegar herramientas para proteger a los municipios de los principales tipos de ciberataques que están sufriendo (mayoritariamente ransomware), en segundo lugar desplegar, en aquellos municipios en los que se consideren necesario, sondas que permitan detectar lo antes posible situaciones de riesgo y, en tercer lugar, preparar a los municipios de forma básica para que, en el caso de que tenga éxito un ciberataque, el impacto en los servicios esenciales sea mínimo.

Para resolver cualquier duda o consulta que pueda surgirle a una Entidad Local sobre las acciones que se están llevando a cabo, pueden contactar con el CSIRT-CV a través de los medios habituales que se indican en nuestro formulario de contacto.