Alertas de seguridad de Enero

28/02/2024 Noticias 0

Alertas del Mes de Enero 2024

Investigadores de seguridad han descubierto una nueva técnica de explotación para servicios de correo electrónico que podría permitir a un actor malicioso enviar correos electrónicos. La técnica denominada como SMTP Smuggling, aprovecha una vulnerabilidad en el protocolo SMTP para permitir que los atacantes envíen correos electrónicos a través de servidores de correo legítimos. Dificultando el control y filtrado de los mecanismos de seguridad durante la detección de correos electrónicos maliciosos, ya que provienen desde un sistema legítimo o confiable, permitiendo realizar ataques de phishing dirigidos.

En términos sencillos, SMTP Smuggling funciona de la siguiente manera:

  1. El atacante envía un correo electrónico a un servidor de correo legítimo.
  2. El servidor de correo legítimo recibe el correo electrónico y lo almacena en su bandeja de entrada.
  3. El atacante luego envía una solicitud al servidor de correo legítimo para que envíe el correo electrónico a la víctima.
  4. El servidor de correo legítimo envía el correo electrónico a la víctima, haciendo que parezca que proviene del servidor de correo legítimo.

¿Qué sistemas o productos están afectados?

La técnica SMTP Smuggling puede afectar a cualquier servidor de correo que utilice el protocolo SMTP que no hayan aplicado las medidas de mitigación o aplicación de parches de seguridad. El investigador que ha descubierto la vulnerabilidad ha alertado a los fabricantes y organizaciones que dan soporte a los sistemas y servicios de correo electrónico, la mayoría de éstos ya han aplicado parches de mitigación para dicha vulnerabilidad. Los proveedores de servicios como Microsoft y GMX, así como los proveedores de soluciones como Postfix, Sendmail y Exim ya han corregido los problemas, otros fabricantes no consideran que se trate de una vulnerabilidad y han emitido sus propias guías de mitigación para la vulnerabilidad de acuerdo a las características de su producto, como el fabricante CISCO para el producto Cisco Secure Email en la versión cloud se puede configurar para manejar los parámetros del contenido de los correos electrónicos según su propia guía:

  • https://www.cisco.com/c/en/us/td/docs/security/esa/esa15-0/user_guide/b_ESA_Admin_Guide_15-0/b_ESA_Admin_Guide_12_1_chapter_0100.html?bookSearch=true#task_1254814__table_985308C400C84CE3BC190BC8A3A95D86

Los usuarios que utilizan Cisco Secure Email, cambiar la configuración predeterminada de «Clean» a «Allow» para evitar recibir correos electrónicos falsificados con verificaciones DMARC válidas

Impacto

La técnica SMTP Smuggling podría tener un impacto significativo en la seguridad de los servicios de correo electrónico. Si un actor malicioso pudiese aprovechar esta vulnerabilidad, el mismo podría enviar correos electrónicos maliciosos a una gran cantidad de usuarios.

Recomendación:

Para protegerse de ataques SMTP Smuggling, los usuarios y administradores de sistemas pueden tomar las siguientes medidas:

  • Mantener actualizados los sistemas de correo electrónico, la mayoría de los sistemas de correo electrónico cuentan parches que corrigen la vulnerabilidad
  • Implementar controles en el servidor de correo electrónico:
    • filtros de correo electrónico
    • Implementar controles sobre límites de cantidad de envíos de correos electrónicos
  • Educar a los usuarios sobre cómo identificar correos electrónicos maliciosos

Enlaces de Referencia:

  • https://www.postfix.org/smtp-smuggling.html
  • https://thehackernews.com/2024/01/smtp-smuggling-new-threat-enables.html
  • https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
  • https://www.rfc-editor.org/rfc/rfc5321
  • https://www.rfc-editor.org/rfc/rfc5322
  • https://www.cisco.com/c/en/us/td/docs/security/esa/esa15-0/user_guide/b_ESA_Admin_Guide_15-0/b_ESA_Admin_Guide_12_1_chapter_0100.html?bookSearch=true#task_1254814__table_985308C400C84CE3BC190BC8A3A95D86

Investigadores de seguridad han descubierto una nueva vulnerabilidad denominada Terrapin (CVE-2023-48795) que afecta a servidores que utilizan el protocolo de red SSH. 

Un actor malicioso podría aprovechar esta vulnerabilidad para degradar la seguridad de la conexión implementada en el protocolo SSH. manipulando los números de secuencia durante el proceso de handshake, lo que puede comprometer la integridad del protocolo SSH, especialmente cuando se utilizan modos de cifrado específicos como ChaCha20-Poly1305 o CBC con Encrypt-then-MAC.

Productos Afectados:

La vulnerabilidad afecta tanto a clientes como a servidores SSH que utilizan igual o anteriores a OpenSSH 9.5.

Impacto:

La explotación de esta vulnerabilidad no sólo se utiliza para degradar la seguridad de la conexión, sino que también podría permitir la explotación de otras fallas en la implementación del protocolo de SSH en los servidores afectados. 

Recomendación:

Se recomienda a los administradores de sistemas y usuarios de SSH que verifiquen la susceptibilidad de sus servidores que utilicen el protocolo SSH. Además, se insta a aplicar las actualizaciones y parches pertinentes para mitigar esta vulnerabilidad.

Referencia:

  • https://www.bleepingcomputer.com/news/security/terrapin-attacks-can-downgrade-security-of-openssh-connections/
  • https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/nearly-11-million-ssh-servers-vulnerable-to-new-terrapin-attacks/amp/
  • https://nvd.nist.gov/vuln/detail/CVE-2023-48795
  • https://terrapin-attack.com/

Google ha lanzado importantes actualizaciones para el navegador web Chrome que corrigen 6 vulnerabilidades de seguridad, incluyendo 4 de severidad «alta» (CVE-2024-0222, CVE-2024-0223, CVE-2024-0224 y CVE-2024-0225). 

Productos afectados:

  • Versiones anteriores a 120.0.6099199/200 de Google Chrome para Windows.
  • Versiones anteriores a 120.0.6099.199 de Google Chrome para Mac y Linux.

Impacto: 

Las vulnerabilidades podrían permitir a un actor malicioso realizar ejecución remota de código (RCE)  y denegación de servicio (DoS).

Recomendación: 

Se recomienda actualizar Google Chrome a la última versión disponible para los sistemas operativos en Windows, Mac y Linux.

Referencia: 

  • https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop.html
  • https://www.csirt.gov.it/contenuti/risolte-vulnerabilita-in-google-chrome-al01-240104-csirt-ita
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-0222
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-0223
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-0224
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-0225

Se ha informado de una vulnerabilidad de contaminación de prototipos que afecta a ciertas versiones del sistema operativo QNAP. La vulnerabilidad está identificada como CVE-2023-39296 y la severidad tiene una puntuación CVSS de 7.5(Alta).

Productos afectados:

  • Versiones de software anteriores a QTS 5.1.x
  • Versiones de software anteriores a QuTS hero h5.1.x

Impacto:

La vulnerabilidad podría permitir a un actor malicioso acceder de forma remota y anular los atributos existentes con otros que tengan un tipo incompatible, lo que podría provocar que el sistema se bloquee a través de una red.

Solución:

Se recomienda actualizar el software a la última versión para beneficiarse de las correcciones de vulnerabilidades. Consulte el estado de soporte del producto para ver las últimas actualizaciones disponibles para su modelo de NAS.

Para actualizar QTS o QuTS hero, inicie sesión como administrador, vaya a Panel de control > Sistema > Actualización de firmware y haga clic en «Verificar actualización» bajo «Actualización en vivo». El sistema descarga e instala la última actualización disponible. También puede descargar la actualización desde el sitio web de QNAP. Vaya a Soporte > Centro de descargas y luego realice una actualización manual para su dispositivo específico.

Referencia:

https://www.qnap.com/en/security-advisory/qsa-23-64
https://nvd.nist.gov/vuln/detail/CVE-2023-39296
https://cwe.mitre.org/data/definitions/1321.html

Microsoft ha lanzado actualizaciones de seguridad que resuelven un total de 48 vulnerabilidades que afectan a varios productos del fabricante. Como parte del programa regular sus actualizaciones del programa “Martes de Parches» para del mes de enero de 2024. De un total de 48 fallas, 2 han sido  calificadas como Críticas y 46 como vulnerabilidades con severidad alta y media.

No hay evidencia de que alguno de los problemas sea conocido públicamente o esté siendo atacado activamente en el momento del lanzamiento.

Las vulnerabilidades más críticas parcheadas este mes son: CVE-2024-20674 (puntaje CVSS: 9.0) – Vulnerabilidad de omisión de seguridad de Kerberos de Windows – CVE-2024-20700 (puntaje CVSS: 7.5) – Vulnerabilidad de ejecución remota de código de Windows Hyper-V.

Productos afectados:

Se puede acceder al listado completo de productos afectados en el siguiente enlace

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan

Recomendación:

Se recomienda instalar las últimas actualizaciones de seguridad proporcionadas por Microsoft para abordar estas vulnerabilidades.

Referencia:

  • https://thehackernews.com/2024/01/microsofts-january-2024-windows-update.html
  • https://www.csirt.gov.it/contenuti/aggiornamenti-mensili-microsoft-al01-240110-csirt-ita
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674
  • https://nvd.nist.gov/vuln/detail/CVE-2024-20700

En la era digital, las ofertas de trabajo en internet se han convertido en un blanco fácil para los estafadores. Estos delincuentes utilizan todo tipo de engaños para atraer a las víctimas y robarles su información personal o dinero. Los estafadores suelen ofrecer puestos de trabajo muy atractivos, con salarios altos y pocos requisitos. Sin embargo, estas ofertas son falsas y solo buscan engañar a las víctimas para que les proporcionen su información personal o dinero, también pueden ofrecer puestos de trabajo que requieren requisitos extraños o poco comunes. Por ejemplo, pueden exigir que las víctimas envíen fotos o vídeos personales o que realicen pagos por adelantado.

Desde el CERT-PY  alertamos de un tipo de estafa que actualmente se distribuye masivamente que  que consiste en contactar aleatoriamente a usuarios a través de plataformas de mensajería como WhatsApp, Telegram, Instagram y Facebook, que supuestamente ofrece empleo como «Influencers Digitales». Los estafadores persuaden a las víctimas para que realicen tareas simples, como dejar comentarios positivos en publicaciones de empresas ficticias, prometiendo ganancias diarias a través de transferencias bancarias. Tras completar la primera tarea, se insta a la víctima a agregar a un supuesto contacto de la empresa para recibir instrucciones de cobro, proporcionando información personal, como identificación y número de cuenta bancaria.

Tras recibir un depósito mínimo como compensación, los estafadores convencen a la víctima de mayores beneficios al participar en un grupo selecto. Para ingresar, se les propone realizar una tarea prepago mediante el pago de un PLAN X, respaldado por un documento de apariencia falsa que muestra movimientos financieros del grupo. La estafa culmina cuando la víctima recibe un mensaje sobre una congestión en los canales financieros, impidiendo los pagos. Los estafadores suspenden las operaciones “temporalmente” y bloquean a todos los involucrados, borrando cualquier rastro.

Recomendaciones para protegerte de estafas de ofertas laborales digitales:

  • Investigue la empresa antes de aceptar una oferta de trabajo: Busque información sobre la empresa en internet y compruebe si tiene una buena reputación.
  • Sospeche de las ofertas que son demasiado buenas para ser verdad: Si una oferta de trabajo parece demasiado buena para ser verdad, probablemente lo sea.
  • Sospeche de las ofertas que son demasiado buenas para ser verdad: Si una oferta de trabajo parece demasiado buena para ser verdad, probablemente lo sea.
  • No proporcione su información personal o financiera a nadie que no conozca: Los estafadores suelen solicitar información personal o financiera para robarla.
  • No haga clic en enlaces o abra archivos adjuntos de correos electrónicos o mensajes sospechosos: Los estafadores suelen utilizar enlaces o archivos adjuntos infectados con malware para robar información personal o financiera.
  • Evite re-enviar a otros contactos sin antes corroborar la legitimidad.

Si cree que ha sido víctima de una estafa de ofertas laborales, siga estos pasos:

Comuníquese con su banco o institución financiera para bloquear su cuenta bancaria.

Denuncie el caso ante la Policia Nacional.

Reporte el incidente al CERT-PY a abuse@cert.gov.py.

Productos afectados:

  • VMware vCenter Server versiones 7.0, 8.0
  • VMware Cloud Foundation versiones 4.x y 5.x

Descripción:

Se han reportado vulnerabilidades para VMWARE vCenter Server, una del tipo ejecución remota de código (RCE), identificada como CVE-2023-34048 con una puntuación CVSS de 9.8 (Severidad crítica), y otra, CVE-2023-34056 de divulgación parcial de información con puntuación CVSS de 4.3 (severidad moderada).

Según el fabricante del producto la vulnerabilidad CVE-2023-34048 se produce cuando se registra, un comportamiento de escritura fuera de límites en la implementación del protocolo DCERPC en el sistema afectado. Un actor malicioso con acceso a la red de vCenter Server podría explotar esta vulnerabilidad mediante el envío de consultas especialmente diseñadas al protocolo DCERPC, lo que podría conducir a la ejecución remota de código en el sistema afectado.

El fabricante VMWARE ha reportado que la vulnerabilidad CVE-2023-34048 se encuentra siendo explotada activamente.

Impacto:                                                           

Un actor malicioso con acceso a la red del vCenter Server puede desencadenar una escritura out-of-bounds (fuera de límites) que potencialmente podría llevar a la ejecución remota de código (CVE-2023-34048).

Un actor malicioso sin privilegios administrativos en vCenter SERVER podría aprovechar esta vulnerabilidad para acceder a datos no autorizados (CVE-2023-34056).

Recomendación:

Se recomienda a los administradores aplicar las actualizaciones de la última versión de la página oficial de VMware, también deben realizar un estricto control de acceso perimetral de red a todos los componentes de gestión e interfaces en vSphere y componentes relacionados, como los de almacenamiento y red.

Información adicional:

  • https://www.bleepingcomputer.com/news/security/vmware-confirms-critical-vcenter-flaw-now-exploited-in-attacks/
  • https://www.vmware.com/security/advisories/VMSA-2023-0023.html
  • https://nvd.nist.gov/vuln/detail/CVE-2023-34048
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-34056

Apple ha reportado varias vulnerabilidades, incluyendo algunas de tipo 0-day, la explotación de estas vulnerabilidades podrían permitir a un actor malicioso ejecutar código arbitrario (RCE), descifrar textos cifrados resguardados en el sistema afectado acceder a información sensible como  datos biométricos del usuario en el dispositivo afectado, , omitir preferencias de seguridad o leer archivos arbitrarios.

CVE-2024-23222: Fallo de confusión de tipos en el procesamiento de contenido web malicioso.

CVE-2023-42916: Lectura fuera de límites en el procesamiento de contenido web.

CVE-2023-42917: Vulnerabilidad de corrupción de memoria en el procesamiento de contenido web.

Productos  afectados:

  • tvOS 17.3
  • Safari 17.3
  • macOS Monterey 12.7.3
  • macOS Ventura 13.6.4
  • iOS 17.3 e iPadOS 17.3
  • watchOS 10.3
  • macOS Sonoma 14.3
  • iOS 15.8.1 e iPadOS 15.8.1
  • iOS 16.7.5 e iPadOS 16.7.5

Impacto:

Estas vulnerabilidades podrían permitir a un actor malicioso realizar acciones como ejecutar código arbitrario(RCE), acceder a información sensible y robar datos biométricos de usuarios.

Recomendación:

Se recomienda a los usuarios y administradores de sistemas aplicar las últimas actualizaciones disponibles para los productos afectados desde las páginas oficiales de Apple.

Referencia:

  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-apple-2
  • https://nvd.nist.gov/vuln/detail/CVE-2024-23222
  • https://nvd.nist.gov/vuln/detail/CVE-2023-42916
  • https://nvd.nist.gov/vuln/detail/CVE-2023-42917

Se ha reportado una vulnerabilidad en Microsoft Outlook que permite la extracción de hashes NTLMv2 mediante la explotación de la función de compartir calendarios, lo que posibilita la conexión y compartición de contenido con una máquina externa, resultando en la interceptación de hashes NTLMv2. La vulnerabilidad está identificada como CVE-2023-35636 y tiene una puntuación CVSS de 6.5 (Severidad media).

Productos afectados:

  • Microsoft Office 2019 x32/x64bits desde la versión 19.0.0 
  • Microsoft 365 Apps for Enterprise x32/x64bits desde la versión 16.0.1 
  • Microsoft Office LTSC 2021 x32/x64bits desde la versión 16.0.1 
  • Microsoft Office 2016 desde la versión 16.0.0 hasta 16.0.5426.1000

Impacto:

Un actor malicioso podría explotar esta vulnerabilidad y realizar el robo de contraseñas hasheadas, lo que puede conducir a ataques de fuerza bruta offline y ataques relay de autenticación.

Recomendación: 

Se recomienda aplicar los parches proporcionados por Microsoft desde su página oficial. 

Referencia:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35636
https://aka.ms/OfficeSecurityReleases
https://www.cve.org/CVERecord?id=CVE-2023-35636

Google ha lanzado una actualización de seguridad para su navegador web Google Chrome que corrige 17 vulnerabilidades, incluyendo 3 de severidad «alta». Estas vulnerabilidades podrían permitir la ejecución arbitraria de código y eludir restricciones de seguridad.

CVE-2024-0807:esta vulnerabilidad afecta una parte desconocida del componente WebAudio y puede provocar que un programa falle utilizando valores inesperados o ejecutar código.

CVE-2024-0812:podría permitir a un atacante remoto explotar potencialmente la corrupción de objetos a través de una página HTML diseñada.

CVE-2024-0808:Desbordamiento en WebGUI, podría permitir a un atacante remoto explotar la vulnerabilidad a través de un archivo malicioso

Productos afectados:

  • Google Chrome versiones anteriores a 121.0.6167.85/.86 para Windows
  • Google Chrome versiones anteriores a 121.0.6167.85 para Mac y Linux

Impacto:

Un actor malicioso podría aprovechar estas vulnerabilidades y ejecutar código arbitrario para producir fallas en el programa.

Recomendación:

Se recomienda actualizar Google Chrome a la última versión disponible en los sistemas Windows, Mac y Linux.

Referencia:

  • https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_23.html
  • https://nvd.nist.gov/vuln/detail/CVE-2024-0812
  • https://nvd.nist.gov/vuln/detail/CVE-2024-0808

Cisco ha reportado una vulnerabilidad identificada como CVE-2024-20253 con puntuación CVSS de 9.9 (Severidad Crítica) que permite a un atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web. Esta vulnerabilidad, se debe al procesamiento inadecuado de los datos proporcionados por el usuario que se leen en la memoria.

Productos afectados:

  • Packaged Contact Center Enterprise (PCCE)(CSCwe18830)
    • Versiones afectadas 12.0 y anteriores, 12.5(1) y 12.5(2)
  • Unified Communications Manager (Unified CM)(CSCwd64245)
    • Versiones afectadas 11.5(1),12.5(1) y 14
  • Unified Communications Manager IM & Presence Service (Unified CM IM&P) (CSCwd64276)
    • Versiones afectadas 11.5(1),12.5(1) y 14
  • Unified Communications Manager Session Management Edition (Unified CM SME) (CSCwd64245)
    • Versiones afectadas 11.5(1),12.5(1) y 14
  • Unified Contact Center Express (UCCX)(CSCwe18773)
    • Versiones afectadas 12.0 y anteriores y 12.5(1)
  • Unity Connection (CSCwd64292)
    • Versiones afectadas 11.5(1), 12.5(1) y 14
  • Virtualized Voice Browser (VVB) (CSCwe18840)
    • Versiones afectadas 12.0 y anteriores, 12.5(1) y 12.5(

Impacto:                                                           

Esta vulnerabilidad podría permitir a un actor malicioso ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web. Con acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado.

Cisco ha informado que, hasta el momento, no hay evidencia de que la vulnerabilidad está siendo explotada activamente.

Recomendación:

Se recomienda instalar las actualizaciones que Cisco ha lanzado para corregir estas vulnerabilidades disponibles en su sitio web oficial.

En caso de no poder realizar la actualización, como medida alternativa se puede mitigar estableciendo Listas de Control de Acceso (ACL) en dispositivos intermedios que separan del cluster de Comunicaciones Unificadas o Soluciones de Contact Center de los usuarios y el resto de la red, para permitir el acceso solo a puertos de los servicios implementados.

Información adicional:

  • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-productos-de-cisco
  • https://securityonline.info/cve-2024-20253-cvss-9-9-cisco-unified-communications-products-rce-vulnerability/

Jenkins ha emitido un reporte sobre una vulnerabilidad de severidad crítica que afecta al núcleo del sistema de las versiones 2.441 y 2.426.2, que permitirían la ejecución remota de código (RCE), se ha asignado el identificador CVE-2024-23897 para la misma. La vulnerabilidad se produce en la biblioteca args4j es utilizada para analizar argumentos y opciones de comandos en el controlador Jenkins cuando son solicitados a través de CLI. Este analizador de comandos tiene una característica que reemplaza un ‘@carácter’ seguido de una ruta de archivo en un argumento con el contenido del archivo ‘expandAtFiles’. Además el fabricante Jenkins ha reportado otra vulnerabilidad de severidad alta, identificada como CVE-2024-23898, del tipo Cross-site WebSocket hijacking , la cual permitiría a un actor malicioso ejecutar comandos arbitrarios en el ambiente CLI a través del engaño a un usuario de la aplicación, para que éste acceda a un enlace malicioso a través de técnicas de ingeniería social como enlaces de phishing dirigido al usuario.

Productos afectados:

  • Versiones Jenkins 2.441, LTS 2.426.2 y anteriores.

Impacto:                                                           

La explotación de estas vulnerabilidades podría permitir a un actor malicioso la ejecución remota de código (RCE) en sistemas afectados. Actualmente existe una Prueba de Concepto (PoC) publicada para la CVE-2024-23897.

Recomendación:

Se recomienda actualizar a las últimas versiones Jenkins 2.442, LTS 2.426.3 desde su página oficial.

O, como alternativa, si no puede realizar la actualización, puede deshabilitar configurando el Java system property hudson.cli.CLICommand.allowAtSyntax a true. Realizar esta configuración no es aconsejable en cualquier red accesible por usuarios que no sean administradores de Jenkins.

Información adicional:

  • https://www.jenkins.io/security/advisory/2024-01-24/
  • https://nvd.nist.gov/vuln/detail/CVE-2024-23897
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/lectura-arbitraria-de-archivos-en-jenkins
  • https://www.bleepingcomputer.com/news/security/exploits-released-for-critical-jenkins-rce-flaw-patch-now/

Juniper Networks ha publicado actualizaciones out-of-band para abordar fallas de gravedad alta en las series SRX y EX, que podrían ser explotadas por un actor malicioso para tomar el control de sistemas susceptibles. Las vulnerabilidades, identificadas como CVE-2024-21619 y CVE-2024-21620, están presentes en el componente J-Web y afectan a todas las versiones de Junos OS. 

CVE-2024-21619 (puntuación CVSS 5.3) tiene una vulnerabilidad de autenticación faltante que podría llevar a la exposición de información de configuración sensible.

CVE-2024-21620 (puntuación CVSS: 8.8) tiene una vulnerabilidad de scripting entre sitios (XSS) que podría llevar a la ejecución de comandos arbitrarios con los permisos del objetivo mediante una solicitud especialmente diseñada.

Dos vulnerabilidades adicionales, CVE-2023-36846 y CVE-2023-36851, fueron divulgadas previamente por Juniper Networks en agosto de 2023.

Productos afectados: 

  • Versiones Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3, 23.2R1-S2, 23.2R2, 23.4R1(CVE-2024-21619)
  • Versiones Junos OS – 20.4R3-S10, 21.2R3-S8, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3-S1, 23.2R2, 23.4R2 (CVE-2024-21620).

Impacto: 

Las vulnerabilidades podrían permitir a un actor malicioso tomar el control de los sistemas afectados, exponer información sensible y ejecutar comandos arbitrarios con los permisos del objetivo.

Recomendación:

Actualizar los productos afectados de Juniper Networks a las versiones recientemente lanzadas  que   abordan estas vulnerabilidades. 

En caso de no actualizar, como medida de mitigación  temporal, la empresa recomienda deshabilitar J-Web o restringir el acceso solo a hosts de confianza. 

Referencia:

  • https://thehackernews.com/2024/01/juniper-networks-releases-urgent-junos.html
  • https://supportportal.juniper.net/s/article/2024-01-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-have-been-addressed?language=en_US

Se han reportado varias vulnerabilidades de seguridad en GitLab CE/EE, incluyendo una de severidad crítica identificada como CVE-2024-0402 que permitiría a un usuario autenticado escribir archivos en ubicaciones arbitrarias del servidor de GitLab mientras crea un espacio de trabajo. Además, se han reportado otras cuatro vulnerabilidades de severidad media las cuales se detallan a continuación:

  • CVE-2023-6159 (CVSS 6.5): Denegación de Servicio de Expresiones Regulares (ReDoS) a través de Cargo.toml que contenga una entrada maliciosa especialmente elaborada.
  • CVE-2023-5933 (CVSS 6.4): La sanitización inadecuada de la entrada del nombre de usuario permite solicitudes PUT arbitrarias a través de la API.
  • CVE-2023-5612 (CVSS 5.3): Vulnerabilidad que permite al actor malicioso leer la dirección de correo electrónico a través del tag del feed RSS, aun si la visibilidad en el perfil del usuario estuviera deshabilitada.
  • CVE-2024-0456 (CVSS 4.3): Un atacante no autorizado puede asignar usuarios arbitrarios a solicitudes de extracción (MR) que hayan sido creadas dentro del proyecto de GitLab.

Productos afectados:

  • versiones de GitLab CE/EE desde 12.7 hasta 16.8.1

Impacto:

Estas vulnerabilidades presentan riesgos críticos o de severidad media que podrían permitir a atacantes realizar acciones no autorizadas o acceder a información sensible.

Recomendación:

Se recomienda instalar las últimas actualizaciones desde la página oficial de GitLab.

Referencia:

  • https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-gitlab-0
  • https://nvd.nist.gov/vuln/detail/CVE-2024-0402
Compartir: