Boletín semanal de ciberseguridad 28 agosto – 3 septiembre

Telefónica Tech    3 septiembre, 2021
Boletín semanal de ciberseguridad 28 agosto-3 septiembre

PoC disponible y escaneos detectados para RCE en Confluence

El pasado miércoles 25 de agosto, Confluence publicaba un aviso de seguridad para alertar de una vulnerabilidad en Confuence Server y Data Center en versiones anteriores a las 6.13.23, 7.4.11, 7.11.6, 7.12.5 y 7.13.0. En su aviso, la firma aclaraba que el fallo no afectaba a los clientes de Confluence Cloud. La vulnerabilidad, que ha recibido el identificador CVE-2021-26084 y un CVSS de 9.8, es en concreto una vulnerabilidad de inyección de OGNL (Object-Graph Navigation Language) que permitiría a un usuario autenticado, y en algunos casos incluso a un usuario no autenticado, ejecutar código arbitrario en una instancia de Confluence Server o Data Center. Tan sólo unos días más tarde, el domingo 29 de agosto, algunos investigadores de seguridad anunciaban haber conseguido ejecutar código de forma remota sin autenticarse de forma relativamente sencilla, pero no hacían públicos aún los detalles de la PoC, hecho que retrasaban unos días hasta ayer 1 de septiembre. A pesar de no hacerse pública la PoC inicialmente, el 31 de agosto ya comenzaba a alertarse de la detección de escaneos masivos de servidores Confluence vulnerables.

Más detalles: https://therecord.media/confluence-enterprise-servers-targeted-with-recent-vulnerability/

ChaosDB – Vulnerabilidad crítica en Microsoft Azure Cosmos DB

Investigadores de seguridad de Wiz han encontrado una vulnerabilidad crítica en Azure, la plataforma en la nube de Microsoft, que permitiría la toma de control de forma remota y con derechos de administrador, de cuentas de la base de datos Cosmos DB. Debido a la gravedad de la vulnerabilidad, los investigadores no han publicado todos los detalles técnicos y los medios para explotarlo, aunque sí detallan que ChaosDB se produciría a partir de la explotación encadenada de una serie de vulnerabilidades encontradas en la función Jupyter Notebook de Cosmos DB. Aprovechando estas vulnerabilidades, un actor malicioso podría obtener credenciales relacionadas con las cuentas de Cosmos DB objetivo, de Jupyter Notebook y de la cuenta de Jupyter Notebok Storage. Con estas credenciales, el atacante podrá ya ver, modificar y eliminar datos en la cuenta de Cosmos DB. En su artículo, Wiz habría incluido un vídeo en el que muestran la explotación de los fallos indicados. Por parte de Microsoft, corregía el fallo el pasado 12 de agosto, menos de 48 horas después de ser alertados desde Wiz, y unos días más tarde, el 26 de agosto, notificaba mediante un aviso enviado aproximadamente a un 30% de los clientes de Cosmos DB de la potencial brecha de seguridad. En su aviso, Microsoft indicaba no tener constancia de la explotación de la vulnerabilidad, pero aconsejaba regenerar las claves primarias como medida de seguridad. Por su parte Wiz indica que el volumen de clientes potencialmente afectados en su opinión es mayor al que habría alertado Microsoft, y recomiendan a todos los clientes adoptar las medidas de seguridad recomendadas.

Toda la info: https://chaosdb.wiz.io/

ProxyToken – Nueva vulnerabilidad en Microsoft Exchange

Investigadores de seguridad de Zero Day Initiative han publicado los detalles técnicos sobre una vulnerabilidad grave en Microsoft Exchange Server denominada ProxyToken. El fallo, catalogado con el identificador CVE-2021-33766 y que ha recibido un CVSSv3 de 7.3, es en concreto una vulnerabilidad de divulgación de información que podría revelar la información personal de las víctimas o datos sensibles de la empresa, entre otros. Microsoft Exchange utiliza dos sitios web: el front-end, al que se conectan los usuarios para acceder al correo electrónico, y que funciona en gran medida como un proxy para el back-end, al que pasa las solicitudes de autenticación. El problema actualmente identificado surge en una función llamada DelegatedAuthModule, donde el front-end pasa las solicitudes de autenticación, que contienen una cookie SecurityToken que las identifica, directamente al back-end. Cuando el front-end recibe una solicitud de autenticación con la cookie SecurityToken, sabe que el back-end es el único responsable de autenticar esta solicitud. Sin embargo, el back-end desconoce por completo que necesita autenticar algunas solicitudes entrantes basadas en la cookie SecurityToken, ya que DelegatedAuthModule no se carga en instalaciones que no han sido configuradas para usar la función especial de autenticación delegada. El resultado final es que las solicitudes pueden pasar, sin ser sometidas a autenticación en el front-end o en el back-end. Microsoft abordó el problema como parte de sus actualizaciones del mes de julio, y recomienda a todos los administradores de los servidores de Exchange que no hayan instalado los parches correspondientes priorizar esta tarea.

Para saber más: https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server

BrakTooth: vulnerabilidades que afectan a dispositivos Bluetooth

El equipo de investigadores de ASSET ha publicado un total de 16 avisos de seguridad, en los que aborda 20 vulnerabilidades que afectan a la pila de software Bluetooth de placas System-on-Chip (SoC) de once proveedores diferentes. Se estima que los dispositivos afectados rondarían los miles de millones, entre los que se encontrarían dispositivos móviles, equipos informáticos o tablets, entre otros. Según los investigadores, la explotación de estos fallos de seguridad podría permitir realizar ataques de denegación de servicio o ejecutar código malicioso, aunque el impacto sería diferente según el modelo de placa SoC y pila de software Bluetooth utilizado. Entre las vulnerabilidades identificadas destaca la CVE-2021-28139, que permite ejecutar código remoto en dispositivos con placas ESP32 SoC de Espressif Systems a través de paquetes LMP de Bluetooth. Por el momento, únicamente tres de los proveedores afectados han lanzado parches: Espressif Systems, Infineon y Bluetrum. Otros como Intel, continúan trabajando en esta cuestión y alguno como Texas Instruments ha indicado que no abordará esta cuestión o Qualcomm, que únicamente trabajará en una parte de estas.

Información completa: https://asset-group.github.io/disclosures/braktooth/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *