SysAdmin 24x7

Desbordamiento de búfer basado en pila en productos de SonicWall Fecha de publicación: 25/03/2022 Importancia: 5 - Crítica Recursos afectados: SonicWall FireWalls v7.0.1-5050 y anteriores de las plataformas: TZ270; TZ270W; TZ370; TZ370W; TZ470; TZ470W; TZ570; TZ570W; TZ570P; TZ670; NSa 2700; NSa 3700; NSa 4700; NSa 5700; NSa 6700; NSsp 10700; NSsp 11700; NSsp 13700; NSv 270; NSv 470; NSv 870. SonicWall NSsp Firewall v7.0.1-R579 y anteriores de la plataforma: NSsp 15700. SonicWall NSv Firewalls v6.5.4.4-44v-21-1452 y anteriores de las plataformas: NSv 10; NSv 25; NSv 50; NSv 100; NSv 200; NSv 300; NSv 400; NSv 800; NSv 1600. Descripción: ZiTong Wang, de Hatlab. DBappSecurity Co. Ltd. ha reportado a SonicWall una vulnerabilidad de severidad crítica, por la que un atacante no autenticado podría provocar un desbordamiento de búfer basado en pila en SonicOS. Solución: SonicWall FireWalls v7.0.1-5050: actualizar a 7.0.1-5051 o superior. SonicWall NSsp Firewall v7.0.1-R579: disponible a mediados de abril 2022 (Hotfix build 7.0.1-5030-HF-R844). SonicWall NSv Firewalls v6.5.4.4-44v-21-1452: actualizar a 6.5.4.4-44v-21-1519 o superior. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/desbordamiento-bufer-basado-pila-productos-sonicwall

Vulnerabilidad RCE en productos Atlassian Fecha de publicación: 25/03/2022 Importancia: 5 - Crítica Recursos afectados: Bitbucket Data Center, versiones: 5.14.x y superiores; 6.x; anteriores a 7.6.14; desde 7.7.x, hasta 7.16.x; desde 7.17.x, hasta anteriores a 7.17.6; desde 7.18.x, hasta anteriores a 7.18.4; desde 7.19.x, hasta anteriores a 7.19.4; 7.20.0. Confluence Data Center: solo se ve afectado, en versiones 5.6.x y posteriores, cuando se instala como un cluster. Para verificar si se está utilizando una instalación en cluster, comprobar el archivo confluence.cfg.xml en el directorio de inicio de Confluence. Si aparece la línea <property name="confluence.cluster">true</property>, ha sido instalado como cluster. Descripción: Benny Jacob (SnowyOwl) ha reportado una vulnerabilidad crítica que podría permitir a un atacante remoto, no autenticado, enviar una petición JoinRequest especialmente diseñada y provocar una ejecución de código arbitrario. Solución: Atlassian planea solucionar esta vulnerabilidad en futuras versiones. Para las actualizaciones, revisar el ticket CONFSERVER-78179. Hasta entonces, se recomienda restringir el acceso al puerto de Hazelcast utilizando un firewall u otros controles de acceso a la red. El puerto solo debe ser accesible por otros nodos del cluster de Bitbucket o Confluence. Para Bitbucket Data Center, Hazelcast utiliza el puerto TCP 5701 por defecto. Para Confluence Data Center, Hazelcast utiliza los puertos TCP 5701 y 5801 por defecto. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-rce-productos-atlassian

New Browser-in-the Browser (BITB) Attack Makes Phishing Nearly Undetectable https://thehackernews.com/2022/03/new-browser-in-browser-bitb-attack.html

Okta investigates LAPSUS$ gang’s compromise claims. Attackers purportedly said ‘focus was only on Okta customers’ Okta, the authentication and identity management giant, is investigating claims supposedly made by malicious hackers that they compromised its internal environment with the intention of targeting Okta customers. https://portswigger.net/daily-swig/okta-investigates-lapsus-gangs-compromise-claims

Hundreds of HP printer models vulnerable to remote code execution HP has published security advisories for three critical-severity vulnerabilities affecting hundreds of its LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format, and DeskJet printer models. The first security bulletin warns about about a buffer overflow flaw that could lead to remote code execution on the affected machine. Tracked as CVE-2022-3942, the security issue was reported by Trend Micro’s Zero Day Initiative team. https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/

DSA-2022-053: Dell Client Platform Security Update for Multiple SMM Vulnerabilities https://www.dell.com/support/kbdoc/es-mx/000197057/dsa-2022-053

Advisory ID: VMSA-2022-0008 CVSSv3 Range: 9.1 Issue Date: 2022-03-23 CVE(s): CVE-2022-22951, CVE-2022-22952 Synopsis: VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951, CVE-2022-22952) Impacted Products VMware Carbon Black App Control (AppC) Introduction Multiple vulnerabilities in VMware Carbon Black App Control were privately reported to VMware. Updates are available to remediate these vulnerabilities in affected VMware products. https://www.vmware.com/security/advisories/VMSA-2022-0008.html

Spectre-BHB: el retorno de Spectre https://unaaldia.hispasec.com/2022/03/spectre-bhb.html

Múltiples vulnerabilidades en productos HP Fecha de publicación: 22/03/2022 Importancia: 5 - Crítica Recursos afectados: El listado completo de productos HP afectados puede localizarse en la sección Affected products de cada aviso del fabricante. Descripción: El equipo ZDI de Trend Micro ha reportado 4 vulnerabilidades, 3 de severidad crítica y 1 alta, que podrían permitir a un atacante remoto ejecutar código, provocar un desbordamiento de búfer, divulgar información o crear una condición de denegación de servicio. Solución: Actualizar el firmware de los productos afectados, instalando las versiones listadas en la columna Updated Firmware Version de cada aviso del fabricante, desde el centro de descargas de HP. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-hp-1

Validación incorrecta de entrada en el core de Drupal Fecha de publicación: 22/03/2022 Importancia: 3 - Media Recursos afectados: Drupal, versiones anteriores a la 9.3.9 y 9.2.16. Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad. Descripción: Jeroen Tubex y Damien McKenna, investigadores de Drupal, han notificado una vulnerabilidad de severidad media, que podría afectar al core de Drupal. Solución: Actualizar: Drupal 9.3, a la versión 9.3.9; Drupal 9.2, a la versión 9.2.16. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/validacion-incorrecta-entrada-el-core-drupal

Múltiples vulnerabilidades en Moodle Fecha de publicación: 21/03/2022 Importancia: Crítica Recursos afectados Versiones: de la 3.11 a la 3.11.5; de la 3.10 a la 3.10.9; de la 3.9 a la 3.9.12; versiones anteriores no soportadas. Descripción Los investigadores Chris Pratt, Andrew Lyons y Sara Arjona han reportado 5 vulnerabilidades: 1 de severidad crítica y 4 bajas, por las que un atacante podría realizar una inyección SQL, borrar cuentas de usuario, configurar las insignias de los cursos con los criterios de los campos del perfil y explotar vulnerabilidades en las librerías PHPMailer y CKEditor. Solución Actualizar a las versiones 3.11.6, 3.10.10 y 3.9.13, respectivamente. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-19

New Phishing toolkit lets anyone create fake Chrome browser windows. A phishing kit has been released that allows red teamers and wannabe cybercriminals to create effective single sign-on phishing login forms using fake Chrome browser windows. https://www.bleepingcomputer.com/news/security/new-phishing-toolkit-lets-anyone-create-fake-chrome-browser-windows/

CRI-O Security Update for Kubernetes https://www.cisa.gov/uscert/ncas/current-activity/2022/03/18/cri-o-security-update-kubernetes

Múltiples vulnerabilidades en el core de Drupal Fecha de publicación: 17/03/2022 Importancia: 3 - Media Recursos afectados: Drupal, versiones anteriores a la 9.3.8 y 9.2.15. Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad. Descripción: Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal. Solución: Actualizar: Drupal 9.3 a la versión 9.3.8; Drupal 9.2 a la versión 9.2.15. incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-4

Múltiples vulnerabilidades en BIND Fecha de publicación: 17/03/2022 Importancia: 4 - Alta Recursos afectados: BIND, versiones: desde 9.11.0, hasta 9.11.36; desde 9.12.0, hasta 9.16.26; desde 9.16.11, hasta 9.16.26; desde 9.17.0, hasta 9.18.0. BIND Supported Preview Editions, versiones: desde 9.11.4-S1, hasta 9.11.36-S1; desde 9.16.8-S1, hasta 9.16.26-S1; desde 9.16.11-S1 hasta 9.16.26-S1. Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas ya que se consideran en su fin de vida útil. Descripción: Se han publicado 3 vulnerabilidades, 1 de severidad alta y 2 medias, que podrían permitir a un atacante finalizar el proceso named, enviar información falsa a los clientes o hacer que las conexiones a BIND permanezcan en estado CLOSE_WAIT durante un periodo de tiempo indefinido, incluso después de que el cliente haya finalizado la conexión. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-bind-2

[Actualización 17/03/2022] Bucle infinito en OpenSSL Fecha de publicación: 16/03/2022 Importancia: 4 - Alta Recursos afectados: OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen: clientes TLS que consumen certificados de servidor; servidores TLS que consumen certificados de clientes; proveedores de alojamiento que recogen certificados o claves privadas de los clientes; autoridades de certificación que analizan las solicitudes de certificación de los suscriptores; cualquier otra cosa que analice parámetros de curva elíptica ASN.1. [Actualización 17/03/2022] LibreSSL, versiones anteriores a 3.3.6, 3.4.3 y 3.5.1. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl

Node.js security: Parse Server remote code execution vulnerability resolved. https://portswigger.net/daily-swig/node-js-security-parse-server-remote-code-execution-vulnerability-resolved

Apple Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products

Bucle infinito en OpenSSL Fecha de publicación: 16/03/2022 Importancia: 4 - Alta Recursos afectados: OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen: clientes TLS que consumen certificados de servidor; servidores TLS que consumen certificados de clientes; proveedores de alojamiento que recogen certificados o claves privadas de los clientes; autoridades de certificación que analizan las solicitudes de certificación de los suscriptores; cualquier otra cosa que analice parámetros de curva elíptica ASN.1. Descripción: Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl

Limitación incorrecta de la ruta a un directorio restringido en TIBCO JasperReports Library Fecha de publicación: 16/03/2022 Importancia: 5 - Crítica Recursos afectados: TIBCO JasperReports Library: versión 7.9.0; para ActiveMatrix BPM, versión 7.9.0. TIBCO JasperReports Server: versiones 7.9.0 and 7.9.1; para AWS Marketplace, versiones 7.9.0 y 7.9.1; para ActiveMatrix BPM, versiones 7.9.0 y 7.9.1; para Microsoft Azure, versión 7.9.1. Componente Server. Descripción: Se ha identificado una vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (directory traversal) que podría permitir a los usuarios del servidor web acceder al contenido del sistema host. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/limitacion-incorrecta-ruta-directorio-restringido-tibco