Categoría: Actualidad

El pasado 19 de mayo se publicaron dos vulnerabilidades, alta y media respectivamente, que afectan a las aplicaciones MusicStation y MalwareRemove de QNAP. La explotación de las mismas permitirían la ejecución de código remoto pre-auntenticado sobre los productos afectados.

Análisis

La primera vulnerabilidad se localiza en la aplicación MusicStation, ésta cuenta con una API para cargar carátulas de un álbum de música en el dispositivo. Esta API recibe el parámetro ‘arttype’ desde una petición HTTP del usuario. Tras verificar que incluya un fichero con una extensión de imagen válida (JPEG, JPG, PNG), añade al nombre del fichero un identificador aleatorio usando la función uniqid de PHP y lo almacena en el dispositivo. Una petición con un arttype preparado puede controlar la ruta donde se va a almacenar el fichero, ya que la aplicación se ejecuta por defecto con privilegios de root. Este problema de seguridad ha recibido el identificador CVE-2020-36197 (1) y ha sido puntuada con un CVSS de 7.1.

La segunda vulnerabilidad tiene asignado el identificador CVE-2020-36198 (2) con una puntuación CVSS de 6.7. Se localizada en la aplicación MalwareRemover. Esta aplicación está diseñada para para proteger contra software dañino y ejecuta un escáner de malware a través de «cronjobs» periódicamente. A diferencia de la anterior, esta se encuentra de serie en QNAP, y no se puede eliminar desde QNAP App Center por motivos de seguridad. La explotación permitiría a los atacantes remotos ejecutar código arbitrario con privilegios de administrador.

Cabe remarcar también la importancia de aplicar las actualizaciones de seguridad en estos dispositivos, pues las copias hoy en día son de vital importancia para cualquier usuario, corporativo o no, ante la tendencia al alza de ataques ransomware y similares que afectan a la disponibilidad, integridad y confidencialidad de la información de un sistema.

Productos afectados

– Relacionados con MusicStation

• • Versiones de Music Station anteriores a 5.3.16 en QTS 4.5. 2
  • Versiones anteriores a 5.2.10 en QTS 4.3.6
  • Versiones anteriores a 5.1.14 en QTS 4.3.3
  • Versiones anteriores a 5.3.16 en QuTS hero h4.5.2
  • Versiones anteriores a 5.3.16 en QuTScloud c4.5.4

– Relacionados con MalwareRemover

• • Versiones anteriores a 4.6.1.0 de MalwareRemover.
  • Este problema no afecta a QNAP Systems Inc. Malware Remover 3.x.

Recomendaciones

Se recomienda actualizar QNAP MusicStation y MalwareRemover a la última versión disponible.

Referencias

(1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36197
(2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36198
(3) https://unaaldia.hispasec.com/2021/05/nuevas-vulnerabilidades-en-aplicaciones-de-qnap.html

Como cada segundo martes del mes Microsoft lanzó el conjunto de actualizaciones de seguridad correspondientes al mes de mayo. La publicación de actualizaciones consta de 55 vulnerabilidades, clasificadas 4 como críticas, 50 como importantes y 1 como moderada. Tras analizar las vulnerabilidades, una de las más destacadas, está relacionada con la pila del protocolo HTTP (http.sys), que permitiría realizar una denegación del servicio o bien la ejecución de código en el servidor afectado.

Análisis

Microsoft informó y remedió una vulnerabilidad crítica con identificador CVE-2021-31166 (1) existente en la implementación de la pila del protocolo HTTP (http.sys). Con una puntuación CVSS de 9.8, la vulnerabilidad anunciada tiene el potencial de tener un impacto directo y también es excepcionalmente fácil de explotar, lo que lleva a una denegación de servicio remota y sin necesidad de autenticación sobre los productos afectados. Además, ya existen pruebas de explotación (POC) sobre la misma (2).

El problema se debe a que Windows realiza un seguimiento incorrecto de los punteros mientras procesa objetos en paquetes de red que contienen solicitudes HTTP. Como HTTP.SYS se implementa como un controlador del kernel, la explotación de este error dará como resultado al menos una pantalla azul (BSoD) y, en el peor de los casos, la ejecución remota de código. Incluso se menciona en el reporte de la compañía que el problema de seguridad podría usarse para crear gusanos de red que salten de un servidor a otro y por lo tanto recomiendan priorizar el parcheo de los servidores afectados.

Productos afectados

• • Windows Server, versión 20H2
  •  Windows Server, versión 2004
  •  Windows 10, versión 20H2
  •  Windows 10, versión 2004

No obstante, en el boletín de seguridad se reflejan más vulnerabilidades. Por lo tanto se recomienda seguir con los ciclos de actualización de Windows en equipos cliente y servidores aplicando las actualizaciones de seguridad para los mismos. Toda la información de las vulnerabilidades corregidas de este mes las pueden encontrar en los siguientes enlaces:

• • https://isc.sans.edu/forums/diary/Microsoft+May+2021+Patch+Tuesday/27408
  • https://www.zerodayinitiative.com/blog/2021/5/11/the-may-2021-security-update-review

Recomendaciones

Se recomienda aplicar las actualizaciones de seguridad proporcionadas por Microsoft sobre los productos afectados a la mayor brevedad posible sobre los productos afectados.

Referencias

(1) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166
(2) https://github.com/0vercl0k/CVE-2021-31166
(3) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-microsoft-mayo-2021

Cada 17 de mayo, desde el año 2005, se celebra el “Día de Internet”.

El objetivo de este día es el de compartir lo que cada uno hace por acercar la Sociedad de la Información (SI) a todos los ciudadanos puesto que, cada vez se hace un uso más intensivo de las Tecnologías de la Información y la Comunicación (TIC).

Desde CSIRT-CV queremos participar de este día tan especial, recordando la importancia de hacer un uso seguro y responsable de Internet, para lo cual os ofrecemos multitud de contenidos en nuestro portal de concienciación (concienciaT), donde podréis encontrar muchos consejos en formato post, campañas que se han ido publicando en nuestras RRSS e incluso a través de infografías, que se pueden descargar e imprimir para tenerlas siempre visibles y a mano para su consulta.

Además, tenéis la posibilidad de descargar nuestras guías enfocadas a mejorar en diferentes temas de seguridad y os animamos a realizar nuestros cursos online gratuitos desde la plataforma de e-Formación SAPS.

Visita el siguiente vídeo donde se recogen todos los recursos que CSIRT-CV te ofrece en su web de concienciación.

A día 13 de mayo de 2021, WordPress ha lanzado una nueva actualización en la que corrigen un fallo de seguridad asociado a dos vulnerabilidades, una de ellas crítica y otra alta. La explotación de las mismas permitirían la inyección de objetos en PHPMailer.

Análisis

Las vulnerabilidades han obtenido el identificador CVE-2020-36326 (1) y CVE-2018-19296 (2) .

A destacar el primer identificador que corresponde con la vulnerabilidad crítica con una calificación (CVSS) de 9.8, esta permitiría la inyección de objetos a través de ‘Phar Deserialization’ mediante ‘addAttachment’ con una ruta UNC.

La segunda vulnerabilidad es similar a la primera y de su corrección derivó el problema actual pues se eliminó el código que bloqueaba la explotación de ‘addAttachment’.

Productos afectados

• • WordPress, versiones entre 3.7 y 5.7.

Recomendaciones

Actualizar WordPress a la versión 5.7.2 (3)

Referencias

(1) https://nvd.nist.gov/vuln/detail/CVE-2020-36326
(2) https://nvd.nist.gov/vuln/detail/CVE-2018-19296
(3) https://wordpress.org/download/releases/
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-572-wordpress