Category: Actualitat

Introducció

S’han identificat tres noves vulnerabilitats en la versió Log4j 1.x. El suport i manteniment oficial ja no es realitza per a aquesta versió [1].

 

Anàlisi

Les noves vulnerabilitats identificades són les següents:

CVE-2022-23302 [2]: JMSSink en totes les versions de Log4j 1.x és vulnerable a la deserialització de dades no de confiança quan l’atacant té accés d’escriptura a la configuració de Log4j o si la configuració fa referència a un servei LDAP al qual l’atacant té accés. L’atacant pot proporcionar una configuració TopicConnectionFactoryBindingName i fer que JMSSink realitze peticions JNDI que resulten en l’execució remota de codi de manera similar a CVE-2021-4104. Teniu en compte que aquest problema només afecta Log4j 1.x quan es configura específicament per a utilitzar JMSSink, que no és el predeterminat.

CVE-2022-23305 [3]: Per disseny, el JDBCAppender en Log4j 1.2.x accepta una sentència SQL com a paràmetre de configuració on els valors a inserir són convertidors de PatternLayout. És probable que el convertidor de missatges, %m, s’incloga sempre. Això permet als atacants manipular el SQL i introduir cadenes manipulades en els camps d’entrada o en les capçaleres d’una aplicació que es registren permetent l’execució de consultes SQL no desitjades. Teniu en compte que aquest problema només afecta Log4j 1.x quan es configura específicament per a utilitzar el JDBCAppender, que no és el predeterminat. A partir de la versió 2.0-beta8, el JDBCAppender va ser reintroduït amb el suport adequat per a consultes SQL parametritzades i una personalització major sobre les columnes escrites en els registres.

CVE-2022-23307 [4], CVE-2020-9493 [5]: va identificar un problema de deserialització que era present en Apatxe Chainsaw. Abans de Chainsaw V2.0, Chainsaw era un component d’Apatxe Log4j 1.2.x que té el mateix problema.

 

Recomanacions

Apatxe Log4j 1.x va arribar al final de la vida útil l’agost de 2015. Els usuaris haurien d’actualitzar a Log4j 2, ja que soluciona nombrosos problemes de les versions anteriors.

 

Referències

[1] Apatxe log4j 1.2 –
[2] NVD – CVE-2022-23302 (nist.gov)
[3] NVD – CVE-2022-23305 (nist.gov)
[4] NVD – CVE-2022-23307 (nist.gov)
[5] NVD – CVE-2020-9493 (nist.gov)

Introducció

Dilluns passat, 17 de gener, Zoho va emetre un pegat per a una vulnerabilitat que afectava a ManageEngine Desktop Central i Desktop Central MSP. [1]

Anàlisi

La vulnerabilitat permetia a un atacant sense autenticar realitzar accions no autoritzades en el servidor. D’aquesta manera, l’atacant podria llegir dades no permeses o crear arxius .zip de manera arbitrària en el servidor. [2]

Productes afectats:

• • • ManageEngine Desktop Central versions anteriors a la 10.1.2137.9
    • ManageEngine Desktop Central MSP versions anteriors a la 10.1.2137.9

Aquesta vulnerabilitat té una puntuació CVSSv3 de 7.8, per la qual cosa es considera de prioritat alta.
No existeix prova de concepte que explote aquesta vulnerabilitat.

Recomanacions

Zoho ja ha resolt aquesta vulnerabilitat en el seu pegat 10.1.2137.9. Per a solucionar-la, s’ha d’iniciar sessió en la consola de Desktop Central [4] i instal·lar l’arxiu PPM per a actualitzar.

 

Referències

[1] https://thehackernews.com/2022/01/zoho-releases-patch-for-critical-flaw.html
[2] https://securityaffairs.co/wordpress/126828/security/zoho-desktop-central-cve-2021-44757-flaw.html
[3] https://www.manageengine.com/products/desktop-central/cve-2021-44757.html
[4]https://accounts.zoho.com/signin?serviceurl=https://me.zoho.com/portal/mestore/redirectManageEngine.do&hide_signup=true&servicename=ManageEngine&css=https://www.zoho.com/css/me-login-spack.css

Introducció

El 6 de gener es van publicar 4 vulnerabilitats en WordPress de tipus XSS emmagatzemat, injecció d’objectes i injecció SQL [1].

Anàlisi

Les vulnerabilitats publicades afecten les versions de WordPress entre la 3.7 i la 5.8, i són les següents:

• • • XSS emmagatzemat a través de post slugs [2]
    • Injecció d’objectes en algunes instal·lacions Multisite [3]
    • Vulnerabilitat d’injecció SQL en WP_Query [4]
    • Vulnerabilitat d’injecció SQL en WP_Meta_Query (només rellevant per a les versions 4.1-5.8) [5]

 

Recomanacions

Aquestes vulnerabilitats ja s’han esmenat en la versió WordPress 5.8.3, per la qual cosa se’n recomana la instal·lació [6].

Si encara no has actualitzat a la versió 5.8, totes les versions de WordPress des de la 3.7 també s’han actualitzat per a solucionar el problema de seguretat següent (llevat que s’indique el contrari).

Referències

[1] News – WordPress 5.8.3 Security Release – WordPress.org
[2] Permalinks & Slugs – WordPress.com Support
[3] What Is WordPress Multisite & When to Use It? – Pressable
[4] WP_Query | Class | WordPress Developer Resources
[5] WP_Meta_Query | Class | WordPress Developer Resources
[6] Version 5.8.3 | WordPress.org

Informació

S’envia la següent actualització per a informar que s’ha publicat una nova versió Log4j, 2.17.1, en la qual es corregeix una nova vulnerabilitat detectada (CVE-2021-44832) de tipus execució de codi remot (RCE).

Aquesta vulnerabilitat que afecta les versions 2.0-beta7 fins a la 2.17.0, excloent les versions 2.3.2 (Java 6) i 2.12.4 (Java 7), permetria un atac d’execució de codi remot (RCE) a un atacant amb permisos de modificació del fitxer de configuració del log. Aquest atacant podria crear una configuració maliciosa usant un JDBC Appender amb una font de dades que faça referència a una URI JNDI que puga executar codi remot. Aquesta fallada s’ha resolt en les versions 2.17.1, 2.12.4 i 2.3.2 limitant els noms de fonts de dades JNDI al protocol de JAVA de Log4j.

 

Recomanacions

Per a mitigar aquesta vulnerabilitat, es recomana actualitzar les versions de la llibreria a la més recent possible:

• • • Log4j v2.17.1 (per a Java 8 i posterior)
    • Log4j v2.12.4 (per a Java 7)
    • Log4j v2.3.2 (per a Java 6)

 

Referències

https://nvd.nist.gov/vuln/detail/CVE-2021-44832
https://logging.apache.org/log4j/2.x/security.html