Noticias de Ciberseguridad: Boletín semanal 11-17 de julio

ElevenPaths    17 julio, 2020
Noticias de Ciberseguridad: Boletín semanal 11-17 de julio

Combinación de vulnerabilidades en Citrix para obtener sesiones de usuario

El día 7 de julio, Citrix publicó un boletín donde corregía un total de 11 vulnerabilidades y pocos días después se publicó una explicación detallada de estas junto a una prueba de concepto. El 11 de julio, se ha publicado cómo combinar tres de ellas (CVE-2020-8193, CVE-2020-8195 y CVE-2020-8196) para poder obtener las sesiones de los usuarios actualmente autenticados. Según los investigadores de NCC Group, estas vulnerabilidades estarían siendo explotadas activamente. Los atacantes aprovecharían en primer lugar una vulnerabilidad de evasión de autorización (CVE-2020-8193) para después, empleando las vulnerabilidades CVE-2020-8195 o CVE-2020-8196, extraer del dispositivos las sesiones VPN de los usuarios. Además, se han observado también intentos de extraer otros elementos de información del dispositivo. Para que el sistema sea vulnerable, el atacante debe tener acceso a la interfaz NSIP del dispositivo. Si esta interfaz no estuviera expuesta en Internet, el riesgo de explotación sería bajo.

Más detalles: https://research.nccgroup.com/2020/07/10/rift-citrix-adc-vulnerabilities-cve-2020-8193-cve-2020-8195-and-cve-2020-8196-intelligence/

SAP corrige una vulnerabilidad crítica

Se ha publicado la corrección de una vulnerabilidad crítica que afectaría a más de 40.000 clientes relacionada con las versiones desde la 7.30 hasta la 7.50 de SAP NetWeaver AS JAVA. El fallo en este asistente de configuración ha sido catalogado con el identificador CVE-2020-6287 con un CVSS de 10. Un agente amenaza no autenticado podría explotar este error a través del protocolo HTTP para tomar el control de aplicaciones SAP, debido a una carencia de autenticación en un componente web del software vulnerable. La severidad de esta vulnerabilidad es crítica dado que las aplicaciones afectadas suelen estar expuestas a internet. Se recomienda encarecidamente a los usuarios SAP que actualicen con la mayor brevedad posible los productos afectados y aplicar el parche publicado.

Toda la info: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675

Anchor_DNS: puerta trasera para Linux

En las últimas horas se ha conocido que los desarrolladores del malware TrickBot habrían sido responsables también del reciente desarrollo de una versión de la puerta trasera Anchor_DNS para sistemas Linux. Una de las principales características de esta nueva herramienta para la comunicación mediante DNS con el servidor Command & Control es que, al ejecutarse, se instala como un Cron Job y pasa a comprobar la IP pública del equipo infectado mediante peticiones a URLs externas. Una vez realizado esto, comienza a transmitir información a través de consultas DNS al servidor C2 controlado por los atacantes. Esta versión para Linux también soportaría la ejecución en Windows mediante SMB e IPC.

Más información: https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30

Vulnerabilidad crítica en Windows DNS Server

Se ha publicado en el Patch Tuesday de Microsoft la corrección de una vulnerabilidad catalogada con el identificador CVE-2020-1350 y un CVSS v3 de 10 que afecta a las versiones de Windows Server 2003 a 2019. Se trata de un fallo crítico en Windows DNS Server, cuyo aprovechamiento podría permitir a un agente amenaza la ejecución remota de código en aquellos entornos de dominio de Windows, especialmente controladores de dominio, sin parches aplicados. Debido a una incorrecta gestión de las peticiones, se da lugar a la posible ejecución de código arbitrario en el contexto de la cuenta de Local System. Se recomienda encarecidamente la actualización urgente según indicaciones del fabricante.

Noticia completa: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

Adobe corrige 13 vulnerabilidades

Adobe ha lanzado actualizaciones de software para corregir un total de 13 nuevas vulnerabilidades de seguridad que afectarían a cinco de sus aplicaciones más utilizadas: Adobe Creative Cloud Desktop Application, Adobe Media Encoder, Adobe Genuine Service, Adobe ColdFusion, Adobe Download Manager. De estas 13 vulnerabilidades, cuatro han sido calificadas como críticas y nueve son importantes. Ninguna de las vulnerabilidades de seguridad corregidas en este lote de actualizaciones de Adobe ha sido divulgada públicamente o se ha encontrado previamente explotada.

  • Las versiones 5.1 y anteriores de Adobe Creative Cloud Desktop Application para sistemas operativos Windows contienen cuatro vulnerabilidades, una de las cuales es un problema crítico de enlaces simbólicos (CVE-2020-9682) que conduce a ataques de escritura en sistemas de archivos arbitrarios.
  • Adobe Media Encoder contiene dos problemas críticos de ejecución de código arbitrario (CVE-2020-9650 y CVE-2020-9646) y un problema importante de divulgación de información, que afectaría tanto a los usuarios de Windows como a los de MacOS que ejecutan la versión 14.2 o anterior de Media Encoder.
  • Adobe Download Manager sería vulnerable a un único fallo crítico (CVE-2020-9688) que podría conducir a la ejecución de código arbitrario en el contexto actual del usuario a través de un ataque de inyección de comandos.
  • Finalmente, Adobe Genunine Service y Adobe  ColdFusion presentaban problemas importantes de escalado de privilegios.

Información completa: https://helpx.adobe.com/security.html

Actualizaciones de seguridad de Cisco

Cisco ha publicado 31 parches de seguridad para corregir fallos en sus productos. Cinco de las vulnerabilidades son críticas, once cuentan con criticidad alta y quince media.

  • CVE-2020-3330 CVSS 9.8: Credenciales predeterminadas estáticas en el Firewall VPN de Cisco Small Business RV110W Wireless-N que permitirían a un atacante no autenticado tomar el control del dispositivo.
  • CVE-2020-3323 CVSS 9.8: Vulnerabilidad en Cisco Small Business RV110W, RV130, RV130W y RV215W que podría permitir a un atacante la ejecución remota de código debido a una validación inadecuada de entrada.
  • CVE-2020-3144 CVSS 9.8: Fallo en la interfaz de gestión de Cisco RV110W Wireless-N VPN Firewall, RV130 VPN, RV130W Wireless-N Multifunction VPN, y RV215W Wireless-N VPN que permitiría la ejecución remota de comandos arbitrarios a un atacante no autenticado.
  • CVE-2020-3331 CVSS 9.8: Fallo en las series de routers RV110W y RV215W que provocarían ejecución de código arbitrario debido a una incorrecta validación de entrada.
  • CVE-2020-3140 CVSS 9.8: Vulnerabilidad en el producto Cisco Prime License Manager (PLM) que permitiría a un agente amenaza no autenticado escalar privilegios hasta nivel administrador en el sistema afectado.

Desde el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) aseguran que no se tiene constancia de explotación o uso malicioso de estas vulnerabilidades que la firma ya ha corregido.

Más info: https://tools.cisco.com/security/center/publicationListing.x


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *