Vulnerabilidades JULIO
Vulnerabilidad de control de acceso inadecuado en Emerson
Hay una falla en el código que se usa para configurar el firewall de la puerta de enlace interna cuando la función VLAN de la puerta de enlace está habilitada. Si un usuario habilita la configuración de VLAN, el firewall de la puerta de enlace interna se desactiva, lo que da como resultado la exposición de todos los puertos utilizados por la puerta de enlace.
La explotación exitosa de esta vulnerabilidad podría deshabilitar el firewall de la puerta de enlace interna. Una vez que se deshabilita el firewall de la puerta de enlace, un usuario malintencionado podría emitir comandos específicos a la puerta de enlace, que luego podrían reenviarse a los dispositivos inalámbricos del usuario final.
Vulnerabilidad en servidores de implementación de Splunk Enterprise permiten la publicación de paquetes de reenviadores por parte del cliente
Los servidores de implementación de Splunk Enterprise en versiones anteriores a la 8.1.10.1, 8.2.6.1 y 9.0 permiten a los clientes implementar paquetes de reenviadores a otros clientes de implementación a través del servidor de implementación. Un atacante que comprometiera un punto final de Universal Forwarder podría usar la vulnerabilidad para ejecutar código arbitrario en todos los demás puntos finales de Universal Forwarder suscritos al servidor de implementación.
Actualice los servidores de implementación de Splunk Enterprise a la versión 8.1.10.1, 8.2.6.1 y 9.0 o posterior. Más información aquí: https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
Vulnerabilidad de ejecución remota de código en ManageEngine Desktop Central
Este módulo de Metasploit explota una vulnerabilidad de deserialización de Java en el método getChartImage() de la clase FileStorage dentro de las versiones de ManageEngine Desktop Central anteriores a la 10.0.474. Zoho ManageEngine Desktop Central anterior a 10.0.474 permite la ejecución remota de código debido a la deserialización de datos que no son de confianza en getChartImage en la clase FileStorage. Esto está relacionado con los servlets CewolfServlet y MDMLogUploaderServlet.
ManageEngine ha publicado una actualización para corregir esta vulnerabilidad. Se pueden encontrar más detalles en:
https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html
Vulnerabilidad de inyección SQL en SFOS XG Firewall 17.0, 17.1, 17.5 y 18.0
Se encontró un problema de inyección SQL en SFOS 17.0, 17.1, 17.5 y 18.0 antes del 25 de abril de 2020 en dispositivos Sophos XG Firewall, tal como se explotó en abril de 2020. Esto afectó a los dispositivos configurados con el servicio de administración (HTTPS) o el Portal de Usuario expuesto en la zona WAN. Un ataque exitoso puede haber causado la ejecución remota de código que exfiltró nombres de usuario y contraseñas cifradas para los administradores de dispositivos locales, administradores del portal y cuentas de usuario utilizadas para acceso remoto (pero no contraseñas externas de Active Directory o LDAP).
Puede encontrar más información aquí: https://news.sophos.com/en-us/2020/04/26/asnarok/
Vulnerabilidad crítica en Confluence Server y Confluence Data Center de Atlassian
Atlassian ha publicado una actualización de seguridad para abordar una vulnerabilidad crítica (CVE-2022-26138) en sus productos Confluence Server y Data Center.
La explotación exitosa de esta vulnerabilidad puede permitir que un atacante no autenticado inicie sesión en servidores de Confluence sin parches y acceda a cualquier contenido no restringido.
Las siguientes versiones de la aplicación Preguntas para Confluencia se ven afectadas:
- Versión 2.7.34
- Versión 2.7.35
- Versión 3.0.2
Se recomienda a los administradores y usuarios que utilizan versiones afectadas de los productos que actualicen a las versiones más recientes de inmediato: https://confluence.atlassian.com/doc/questions-for-confluence-security-advisory-2022-07-20-1142446709.html
CVE-2022-30221
Vulnerabilidades de acceso no autorizado en Cisco Nexus Dashboard
Cisco ha publicado actualizaciones de seguridad para tres vulnerabilidades graves que podrían permitir que un atacante ejecute comandos y realice acciones con privilegios de raíz o administrador:
- CVE-2022-20857 : una vulnerabilidad en Cisco Nexus Dashboard que podría permitir que un atacante remoto no autenticado acceda a una interfaz de programación de aplicaciones (API) específica. A través de esto, el atacante podría enviar solicitudes HTTP manipuladas para ejecutar comandos arbitrarios en un dispositivo afectado como usuario root.
- CVE-2022-20861 : una vulnerabilidad en la interfaz de usuario web (UI) de Cisco Nexus Dashboard que podría permitir que un atacante remoto no autenticado realice un ataque de falsificación de solicitud entre sitios (CSRF). Esto se hace incitando a un administrador autenticado a hacer clic en un enlace malicioso en un dispositivo afectado para realizar acciones con privilegios de administrador.
- CVE-2022-20858 : una vulnerabilidad en Cisco Nexus Dashboard que podría permitir que un atacante remoto no autenticado descargue imágenes de contenedores o cargue imágenes de contenedores maliciosos en un dispositivo afectado al abrir una conexión TCP al servicio de administración de imágenes de contenedores. Las imágenes maliciosas se ejecutarían después de que se reinicie el dispositivo afectado o se reinicie un pod (una instancia afectada conectada al panel de Cisco Nexus).
Se recomienda a los administradores de los productos afectados que actualicen a las últimas versiones de inmediato aquí: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y
Explotación activa de la vulnerabilidad de suplantación de LSA de Windows
Nuevo vector de ataque de retransmisión de PetitPotam Windows NT LAN Manager (NTLM).
La explotación exitosa de esta vulnerabilidad podría permitir que un atacante no autenticado llame a un método en la interfaz de llamada de procedimiento remoto de la autoridad de seguridad local (LSARPC) y obligue al controlador de dominio a autenticar al atacante mediante NTLM, lo que le permitiría posiblemente hacerse cargo de todo el dominio de Windows.
Se recomienda a los usuarios y administradores que apliquen la actualización de seguridad pertinente, que ayudará a detectar intentos de conexión anónimos en LSARPC y rechazarlos, puede encontrarla aquí: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26925
Vulnerabilidad de inyección SQL en Django
El proyecto Django, un marco web de código abierto basado en Python, ha emitido una versión de seguridad para abordar una vulnerabilidad de alta gravedad. Esta vulnerabilidad, asignada como CVE-2022-34265, existe en la rama principal de Django, versiones 4.1 (beta), 4.0 y 3.2. Debido a esta vulnerabilidad, un actor de amenazas puede atacar las aplicaciones web de Django inyectando código malicioso a través de argumentos proporcionados a las funciones de base de datos Trunc() y Extract().
Django ha lanzado las versiones Django 4.0.6 y Django 3.2.14 que abordan esta vulnerabilidad e insta a los desarrolladores a actualizar sus aplicaciones web Django lo antes posible.
Si no puede actualizar a las versiones fijas de Django 4.06 o 3.2.14, se ha puesto a disposición parches de seguridad aquí: https://docs.djangoproject.com/en/4.0/releases/security/
