Múltiples vulnerabilidades de riesgo alto y medio en productos de Apache

Investigadores de seguridad descubrieron recientemente 5 vulnerabilidades que afectan a Apache Tomcat, Apache XML Graphics, Apache Server, Apache Spark y Apache Shiro. Estos fallos han sido identificados y catalogados como CVE-2020-11996 de riesgo críticoCVE-2020-10280 de riesgo alto y los CVE-2020-9480CVE-2020-11989CVE-2019-17566 de riesgo medio. La explotación exitosa de estas vulnerabilidades podría llevar a una denegación de servicios (DoS), ejecucion de comandos shell, omitir la autenticación u obtener información confidencial.

Productos Afectados:

  • Apache Shiro versiones anteriores a 1.5.3;
  • Apache Spark 2.4.5 y anteriores;
  • Apache XML Graphics 1.12 y anteriores;
  • Apache Tomcat versiones 8.5.0 hasta la 8.5.55, 9.0.0.M1 hasta la 9.0.35, 10.0.0-M1 hasta la 10.0.0-M5
  • Apache Server.

A continuación se describen brevemente las 5 vulnerabilidades:

El CVE-2020-11996, de riesgo crítico afecta al protocolo HTTP/2 de Apache Tomcat. Un atacante remoto podría enviar una secuencia de solicitudes HTTP/2 especialmente diseñada para explotar la vulnerabilidad y en caso de realizar una cantidad suficiente de solicitudes concurrentes podría llevar a una condición de denegación de servicios (DoS) en el servidor.

El CVE-2020-10280, de riesgo alto afecta a la interfaz web del servidor Apache, el cual se encuentra en escucha en el puerto 80. Y es debido a una validación errónea de los encabezados HTTP. Un atacante remoto podría enviar múltiples encabezados HTTP incompletos bloqueando el acceso al dashboard y generando una condición de denegación de servicios (DoS).

El CVE-2020-9480 de riesgo medio, afecta al framework de computación en cluster de Apache Spark en sus versiones 2.4.5 y anteriores. Se da cuando un administrador de recursos está configurado para autenticarse con la clave compartida (spark.authenticate), en donde debido a errores en el mecanismo de autenticación de Spark a través de la clave compartida, permitiendo a un atacante remoto realizar una RPC (Remote Procedure Call) al administrador de recursos e iniciar exitosamente los recursos de la aplicación en la máquina cluster sin la clave compartida, esto podría llevar a una ejecución de comandos shell en la máquina víctima.

El CVE-2020-11989 de riesgo medio, afecta a versiones anteriores a la 1.5.3 del framework de seguridad Apache Shiro y se da debido a un error de procesamiento en el componente Spring Dynamic Controller. Un atacante local podría realizar una solicitud maliciosa especialmente diseñada para explotar la vulnerabilidad y omitir la autenticación.

Finalmente el CVE-2019-17566 de riesgo medio, se da en el conjunto de proyectos de conversión XML, Apache XML Graphics 1.12 y anteriores, debido a una validación insuficiente de los atributos “xlink:href”. Un atacante remoto podría enviar una solicitud HTTP especialmente diseñada para que la aplicación inicie solicitudes en sistemas arbitrarios. La explotación exitosa de esta vulnerabilidad permitiría a un atacante acceder a información confidencial ubicada en la red local o enviar solicitudes maliciosas a otros servidores desde el sistema vulnerable.

Recomendaciones:

  • Actualizar los productos afectados a las siguientes versiones:
  • La vulnerabilidad que afecta a Apache Spark puede ser mitigada limitando el acceso a las máquinas cluster solo a hosts confiables.
  • Para la vulnerabilidad que afecta a Apache Server el fabricante aún no ha publicado la actualización de seguridad, por lo que se recomienda estar atento a los avisos de seguridad en la página oficial de Apache.

Referencias:

Compartir: