Investigadores de seguridad descubrieron recientemente 5 vulnerabilidades que afectan a Apache Tomcat, Apache XML Graphics, Apache Server, Apache Spark y Apache Shiro. Estos fallos han sido identificados y catalogados como CVE-2020-11996 de riesgo crítico, CVE-2020-10280 de riesgo alto y los CVE-2020-9480, CVE-2020-11989, CVE-2019-17566 de riesgo medio. La explotación exitosa de estas vulnerabilidades podría llevar a una denegación de servicios (DoS), ejecucion de comandos shell, omitir la autenticación u obtener información confidencial.
Productos Afectados:
- Apache Shiro versiones anteriores a 1.5.3;
- Apache Spark 2.4.5 y anteriores;
- Apache XML Graphics 1.12 y anteriores;
- Apache Tomcat versiones 8.5.0 hasta la 8.5.55, 9.0.0.M1 hasta la 9.0.35, 10.0.0-M1 hasta la 10.0.0-M5
- Apache Server.
A continuación se describen brevemente las 5 vulnerabilidades:
El CVE-2020-11996, de riesgo crítico afecta al protocolo HTTP/2 de Apache Tomcat. Un atacante remoto podría enviar una secuencia de solicitudes HTTP/2 especialmente diseñada para explotar la vulnerabilidad y en caso de realizar una cantidad suficiente de solicitudes concurrentes podría llevar a una condición de denegación de servicios (DoS) en el servidor.
El CVE-2020-10280, de riesgo alto afecta a la interfaz web del servidor Apache, el cual se encuentra en escucha en el puerto 80. Y es debido a una validación errónea de los encabezados HTTP. Un atacante remoto podría enviar múltiples encabezados HTTP incompletos bloqueando el acceso al dashboard y generando una condición de denegación de servicios (DoS).
El CVE-2020-9480 de riesgo medio, afecta al framework de computación en cluster de Apache Spark en sus versiones 2.4.5 y anteriores. Se da cuando un administrador de recursos está configurado para autenticarse con la clave compartida (spark.authenticate), en donde debido a errores en el mecanismo de autenticación de Spark a través de la clave compartida, permitiendo a un atacante remoto realizar una RPC (Remote Procedure Call) al administrador de recursos e iniciar exitosamente los recursos de la aplicación en la máquina cluster sin la clave compartida, esto podría llevar a una ejecución de comandos shell en la máquina víctima.
El CVE-2020-11989 de riesgo medio, afecta a versiones anteriores a la 1.5.3 del framework de seguridad Apache Shiro y se da debido a un error de procesamiento en el componente Spring Dynamic Controller. Un atacante local podría realizar una solicitud maliciosa especialmente diseñada para explotar la vulnerabilidad y omitir la autenticación.
Finalmente el CVE-2019-17566 de riesgo medio, se da en el conjunto de proyectos de conversión XML, Apache XML Graphics 1.12 y anteriores, debido a una validación insuficiente de los atributos “xlink:href”. Un atacante remoto podría enviar una solicitud HTTP especialmente diseñada para que la aplicación inicie solicitudes en sistemas arbitrarios. La explotación exitosa de esta vulnerabilidad permitiría a un atacante acceder a información confidencial ubicada en la red local o enviar solicitudes maliciosas a otros servidores desde el sistema vulnerable.
Recomendaciones:
- Actualizar los productos afectados a las siguientes versiones:
- Apache XML Graphics a la versión 1.13;
- Apache Spark a las versiones 2.4.6 o 3.0.0;
- Apache Shiro a la versión 1.5.3;
- Apache Tomcat a las versiones 8.5.56, 9.0.36, 10.0.0-M6.
- La vulnerabilidad que afecta a Apache Spark puede ser mitigada limitando el acceso a las máquinas cluster solo a hosts confiables.
- Para la vulnerabilidad que afecta a Apache Server el fabricante aún no ha publicado la actualización de seguridad, por lo que se recomienda estar atento a los avisos de seguridad en la página oficial de Apache.
Referencias:
- https://spark.apache.org/security.html#CVE-2020-9480
- https://xmlgraphics.apache.org/security.html
- https://shiro.apache.org/security-reports.html
- https://github.com/aliasrobotics/RVD/issues/2568
- http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.56
- http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.36
- http://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M6