La nueva vulnerabilidad CVE-2022-42889 en Apache Commons Text, denominada «Text4Shell», es causada por una evaluación de secuencias de comandos insegura por parte del sistema de interpolación que podría desencadenar la ejecución de código al procesar entradas maliciosas en la configuración
Autor: Seguridad CSIRT-CV
[SCC] Fuga de información relacionada con Microsoft
Desde SOCRadar han informado a Microsoft de un fallo de configuración en un endpoint de un sitio de almacenamiento. Este fallo permite acceder a información confidencial con un usuario no autenticado. Microsoft ha corregido este error, el endpoint se ha securizado y ahora sólo está accesible para usuarios autenticados.
En cuanto al tipo de información que es accesible, se encuentran nombres, direcciones de correo electrónico, contenido de correos, nombres de empresas, números de teléfono y archivos adjuntos. Esta información se encuentra en comunicaciones entre Microsoft y sus clientes, como por ejemplo al abrir un caso de soporte.
En cuanto a las recomendaciones y acciones a llevar a cabo, Microsoft de forma proactiva ha ido revisando la información que se ha publicado para cada organización, y ha elaborado acciones específicas. Por tanto lo que se debe hacer es acceder a https://admin.microsoft.com/AdminPortal/Home#/MessageCenter, que es el centro de mensajes, ahí aparecerá el aviso con las acciones a llevar a cabo. Si no aparece nada es que no es necesario realizar ninguna acción.
En el caso del tenant de Generalitat ya están al corriente y están llevando a cabo las medidas necesarias.
Referencias
Vulnerabilidades en WhatsApp permiten compromiso del dispositivo al recibir ciertos vídeos o videollamadas
Introducción
WhatsApp ha publicado dos vulnerabilidades de criticidades alta y crítica, respectivamente. Estas vulnerabilidades pueden permitir la ejecución remota de código en dispositivos no actualizados al recibir contenido especialmente alterado.
Análisis
Las versiones no actualizadas de WhatsApp y Business, tanto para Android como para iOS, tienen un problema de desbordamiento de números enteros (integer overflow) que, al establecer una videollamada especialmente manipulada por el atacante, puede resultar en ejecución remota de código (RCE). Esta vulnerabilidad ha recibido el identificador CVE-2022-36934 y una puntuación CVSS de 9,8.
Las versiones no actualizadas de WhatsApp, tanto para Android como para iOS, tienen un problema de desbordamiento negativo de números enteros (integer underflow) que, al recibir un vídeo especialmente manipulado por el atacante, puede resultar en ejecución remota de código (RCE). Esta vulnerabilidad ha recibido el identificador CVE-2022-27492 y una puntuación CVSS de 7,8.
Recursos afectados
En el caso de la vulnerabilidad ante una videollamada (CVE-2022-36934), las versiones vulnerables son:
– WhatsApp para Android anterior a la versión v2.22.16.12
– Business para Android anterior a la v2.22.16.12
– WhatsApp para iOS anterior a la versión v2.22.16.12
– Business para iOS anterior a la v2.22.16.12
En el caso de la vulnerabilidad ante el envío de un video malicioso (CVE-2022-27492), las versiones vulnerables son:
– WhatsApp para Android anterior a la v2.22.16.2
– WhatsApp para iOS v2.22.15.9
Recomendaciones
Se recomienda actualizar la aplicación WhatsApp y/o Business desde Play Store (Android) o desde App Store (iOS). Según cómo esté configurado el dispositivo, estas actualizaciones pueden ser automáticas, por lo que si no existe la opción de actualizar es probable que el dispositivo ya esté en la versión más actualizada. La versión, independientemente de la aplicación o sistema operativo, debería ser la v2.22.16.12 o superior.
Referencias
[2] https://nvd.nist.gov/vuln/detail/CVE-2022-27492
[3] https://derechodelared.com/whatsapp-vulnerabilidad/