Categoría: Actualidad

Como cada segundo martes del mes Microsoft lanzó el conjunto de actualizaciones de seguridad correspondientes al mes de junio. La publicación de actualizaciones consta de 50 vulnerabilidades, clasificadas 5 como críticas y 45 como importantes.

Análisis

Tras analizar las vulnerabilidades todas ellas reportadas como zero day y siendo activamente explotadas en internet, las más destacadas son ejecución de código remoto a través de Internet explorer (Edge) y elevación de privilegios a través de NTFS, DWM y librerías criptográficas del sistema.

CVE-2021-33742: Windows MSHTML Platform Remote Code Execution Vulnerability, CVSS 7.5
CVE-2021-33739: Microsoft DWM Core Library Elevation of Privilege Vulnerability, CVSS 8.4
CVE-2021-31199: Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerability, CVSS 5.2
CVE-2021-31201: Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerability, CVSS 5.2
CVE-2021-31956: Windows NTFS Elevation of Privilege Vulnerability, CVSS 7.8

Productos afectados

• • Windows Server, versión 20H2
  • Windows Server, versión 2004
  • Windows 10, versión 20H2
  • Windows 10, versión 2004

No obstante, en el boletín de seguridad se reflejan más vulnerabilidades. Por lo tanto se recomienda seguir con los ciclos de actualización de Windows en equipos cliente y servidores aplicando las actualizaciones de seguridad para los mismos. Toda la información de las vulnerabilidades corregidas de este mes las pueden encontrar en los siguientes enlaces:

• • https://isc.sans.edu/forums/diary/Microsoft+June+2021+Patch+Tuesday/27506
  • https://www.zerodayinitiative.com/blog/2021/6/8/the-june-2021-security-update-review

Recomendaciones

Se recomienda aplicar las actualizaciones de seguridad proporcionadas por Microsoft sobre los productos afectados a la mayor brevedad posible sobre los productos afectados.

El pasado 27 de Mayo, Sonic Wall publicó una vulnerabilidad que afecta al Network Security Manager. Esta vulnerabilidad tiene una criticidad alta, y se le ha asignado el código CVE-2021-20026.

Análisis

La vulnerabilidad es de tipo ejecución remota de código. Un atacante podría aprovechar esta vulnerabilidad para ejecutar comandos en el sistema, utilizando una petición HTTP especialmente diseñada. Explotar con éxito esta vulnerabilidad tiene cierta dificultad ya que el atacante debe estar autenticado en el sistema.

Productos afectados

• • Network Security Manager(instalación local) de SonicWall, versión 2.2.0-R10 y anteriores.
  • Las versiones SaaS no están afectadas.

Recomendaciones

Se recomienda actualizar a la versión NSM 2.2.1-R6 que está disponible para su descarga en mysonicwall.com.

Referencias

(1)https://unaaldia.hispasec.com/2021/06/sonicwall-parchea-un-fallo-de-ejecucion-de-comandos-en-la-gestion-de-su-cortafuegos.html
(2)https://www.sonicwall.com/support/product-notification/security-advisory-on-prem-sonicwall-network-security-manager-nsm-command-injection-vulnerability/210525121534120/
(3) https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0014
(4) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20026

El equipo de seguridad de Drupal publicó el pasado 26 de mayo un aviso de seguridad y su correspondiente solución de una nueva vulnerabilidad de criticidad media, la explotación de la misma provocaría un ataque Cross Site Scripting (XSS).

Análisis

Esta vulnerabilidad se puede explotar sobre servidores Drupal debido a que el core utiliza la biblioteca CKEditor de terceros que contiene un error en el análisis de HTML que podría provocar un ataque XSS. Para la explotación de la misma también se indica que el atacante debería proporcionar una ruta específica a la víctima y esta además debe tener permisos básicos a nivel de usuario. Por último, indicar que este problema solo afecta a los sitios con CKEditor activado.

Productos afectados

• • Versiones Drupal anteriores a la 9.1, 9.0 y 8.

Recomendaciones

Se recomienda aplicar las actualizaciones que indican desde Drupal:

• • Si está utilizando Drupal 9.1, actualice a Drupal 9.1.9
  • Si está utilizando Drupal 9.0, actualice a Drupal 9.0.14
  • Si está utilizando Drupal 8.9, actualice a Drupal 8.9.16
  • Las versiones de Drupal 8 anteriores a la 8.9.x están al final de su vida útil y no reciben cobertura de seguridad.

Para la librería CKEditor:

• • Actualizar a la versión 4.16.1 y posteriores.

Referencias

(1) https://www.drupal.org/sa-core-2021-003
(2) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-el-core-drupal-3

VMware ha publicado parches para corregir una vulnerabilidad de seguridad crítica en vSphere Client (HTML5) cuya explotación permitiría la ejecución remota de código arbitrario en el servidor por parte de un atacante no autenticado.

Análisis

La vulnerabilidad crítica de este boletín se ha registrado con el identificador CVE-2021-21985 (1) y con una puntuación CVSS de 9.8, esta puntuación se debe en parte a la baja complejidad de explotación de la misma.

El problema se debe a la ausencia de validación de entradas en el complemento Virtual SAN (vSAN) Health Check, que está habilitado de forma predeterminada en vCenter Server. Un actor malintencionado con acceso al puerto 443 puede aprovechar el problema para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que aloja vCenter Server.

Comentar que los parches de seguridad publicados por VMware también corrigen otra vulnerabilidad, de criticidad media, por problema de autenticación en vSphere Client que afecta a Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager y VMware Cloud Director Availability plug-ins. Este problema permite a un actor malintencionado con acceso al puerto 443 en vCenter Server pueda realizar, sin autenticación, acciones permitidas por los complementos afectados. Esta vulnerabilidad tiene identificador CVE-2021-21986 (2) y una puntuación CVSS de 6.5.

Productos afectados

• • Versiones 6.5, 6.7 y 7.0 de vCenter Server
  • Versiones 3.x y 4.x de Cloud Foundation

Recomendaciones

Se recomienda aplicar las actualizaciones o las soluciones alternativas que indican desde VMware en el siguiente enlace:

• • https://www.vmware.com/security/advisories/VMSA-2021-0010.html

Referencias

(1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21985
(2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21986
(3)https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-vmware-vcenter-server-expone-sistemas-afectados/