Posted on

Actualización de parches críticos de Oracle – Abril 2024

Oracle ha publicado un aviso que contiene 441 nuevos parches de seguridad para diferentes familias de productos. En este aviso cubriremos las vulnerabilidades críticas de los propios productos Oracle.

Análisis

Los parches de seguridad resuelven las siguientes vulnerabilidades:

    • CVE-2024-21071 : Vulnerabilidad en el producto Oracle Workflow de Oracle E-Business Suite (componente: Admin Screens and Grants UI). Una vulnerabilidad fácilmente explotable permite a un atacante con privilegios elevados con acceso a la red a través de HTTP poner en peligro Oracle Workflow. Aunque la vulnerabilidad se encuentra en Oracle Workflow, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Workflow.
    •  CVE-2024-21092 : Vulnerabilidad en el producto Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain (componente: Product Quality Management). Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP poner en peligro Oracle Agile Product Lifecycle Management for Process. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación no autorizada, eliminación o modificación de acceso a datos críticos o a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process, así como acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process.
    • CVE-2024-21082: Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: XML Services). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle BI Publisher. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle BI Publisher.

    • CVE-2024-21095: Vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Primavera P6 Enterprise Project Portfolio Management. Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Primavera P6 Enterprise Project Portfolio Management así como acceso no autorizado de actualización, inserción o borrado a algunos de los datos accesibles de Primavera P6 Enterprise Project Portfolio Management.

    • CVE-2024-21007: Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3, IIOP comprometer Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle WebLogic Server.

    • CVE-2024-21010: Vulnerabilidad en el producto Oracle Hospitality Simphony de Oracle Food and Beverage Applications (componente: Simphony Enterprise Server). Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP poner en peligro Oracle Hospitality Simphony. Aunque la vulnerabilidad se encuentra en Oracle Hospitality Simphony, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Hospitality Simphony. 

Versiones Afectadas: 

    • Oracle Hospitality Simphony versiones 19.1.0-19.5.4
    • Oracle WebLogic Server versiones 12.2.1.4.0 y 14.1.1.0.0
    • Primavera P6 Enterprise Project Portfolio Management versiones 19.12.0-19.12.22, 20.12.0-20.12.21, 21.12.0-21.12.18, 22.12.0-22.12.12 y 23.12.0-23.12.2
    • Oracle BI Publisher versiones 7.0.0.0.0 y 12.2.1.4.0.
    • Oracle Agile Product Lifecycle Management for Process versiones 6.2.4.2
    • Oracle Workflow versiones 12.2.3-12.2.13

Recomendaciones 

Actualice según las instrucciones especificadas por Oracle para cada uno de sus productos.

Referencias

https://www.oracle.com/security-alerts/cpuapr2024.html
https://nvd.nist.gov/vuln/detail/CVE-2024-21010
https://nvd.nist.gov/vuln/detail/CVE-2024-21007
https://nvd.nist.gov/vuln/detail/CVE-2024-21095
https://nvd.nist.gov/vuln/detail/CVE-2024-21082
https://nvd.nist.gov/vuln/detail/CVE-2024-21092
https://nvd.nist.gov/vuln/detail/CVE-2024-21071

Posted on

Parches de seguridad de productos Microsoft (abril 2024)

Microsoft ha publicado actualizaciones de seguridad para el mes de abril de 2024 para corregir 149 vulnerabilidades, dos de las cuales han sido explotadas activamente en la naturaleza.

Análisis

De los 149 defectos, tres están clasificados como críticos, 142 como importantes, tres como moderados y uno como de gravedad baja. De entre todas las vulnerabilidades, se destacan las siguientes:

    • CVE-2024-26234 (puntuación CVSS: 6,7): vulnerabilidad de suplantación de identidad del controlador proxy
    • CVE-2024-29988 (puntuación CVSS: 8,8): vulnerabilidad de omisión de función de seguridad de solicitud de SmartScreen
    • CVE-2024-29990 (puntuación CVSS: 9,0), vulnerabilidad de elevación de privilegios que afecta al contenedor confidencial del servicio Microsoft Azure Kubernetes y que podría ser explotada por atacantes no autenticados para robar credenciales.

Recomendaciones 

Actualizar a las últimas versiones publicadas por Microsoft.

Referencias

https://thehackernews-com.translate.goog/2024/04/microsoft-fixes-149-flaws-in-huge-april.html?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=es

Posted on

Fallo XSS en enrutadores CISCO

Cisco advierte sobre un fallo de secuencias de comandos entre sitios (XSS) en los enrutadores RV016, RV042, RV042G, RV082, RV320 y RV325 para pequeñas empresas.

Análisis

El problema de gravedad media, registrado como CVE-2024-20362 (puntaje CVSS 6.1), reside en la interfaz de administración basada en web de los enrutadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325. Un atacante remoto no autenticado puede realizar un ataque de secuencias de comandos entre sitios (XSS) contra un usuario de la interfaz.
Los dispositivos afectados son enrutadores para pequeñas empresas de la serie RV al final de su vida útil (EoL) y que la compañía no lanzará actualizaciones de software para solucionar el problema. No existen soluciones alternativas que aborden esta vulnerabilidad.

Recursos afectados

• El fallo afecta todas las versiones de software para los siguientes enrutadores para pequeñas empresas de la serie Cisco RV:

◦ Enrutadores VPN multiWAN RV016
◦ Enrutadores VPN WAN duales RV042
◦ Enrutadores VPN WAN Gigabit duales RV042G
◦ Enrutadores VPN WAN duales RV082
◦ Enrutadores VPN WAN Gigabit duales RV320
◦ Enrutadores VPN WAN Gigabit duales RV325

Recomendaciones 

Para mitigar esta vulnerabilidad en los enrutadores Cisco Small Business RV320 y RV325, la empresa recomienda desactivar la administración remota.
Para mitigar esta vulnerabilidad en los enrutadores Cisco Small Business RV016, RV042, RV042G y RV082, la compañía recomienda deshabilitar la administración remota y bloquear el acceso a los puertos 443 y 60443. Los enrutadores seguirán siendo accesibles a través de la interfaz LAN después de implementar la mitigación.

Cisco no tiene conocimiento de ataques que exploten esta vulnerabilidad, por lo que la empresa insta a los clientes a migrar a un producto compatible.

Referencias

https://securityaffairs.com/161540/security/cisco-eof-routers-xss.htm

Posted on

Vulnerabilidad en protocolo HTTP2

El 4 de Abril se publicó una vulnerabilidad en la implementación que hacen del protocolo HTTP/2 varios proyectos de servidores web que podría usarse para crashear un equipo y por ello ser utilizado para una denegación de servicio (DoS).

Análisis

HTTP/2 utiliza campos de encabezado en los mensajes de solicitud y respuesta HTTP. Los campos de encabezado pueden incluir listas de encabezados, que a su vez se dividen en bloques de encabezados. Estos bloques de encabezado se transmiten en múltiples fragmentos a la implementación de destino. Las tramas HTTP/2 CONTINUATION se utilizan para continuar una secuencia de fragmentos de bloques de campos. Se utilizan para dividir bloques de encabezado en múltiples tramas. Los otros dos tipos de fragmentos de bloques de encabezado son HEADERS o PUSH_PROMISE. Las tramas CONTINUATION pueden utilizarse para continuar un fragmento de bloque de cabecera que no pudo ser transmitido por las tramas HEADERS o PUSH_PROMISE. Un bloque de cabecera se considera completado cuando el servidor recibe un flag END_HEADERS establecida. Con ello se pretende indicar que no hay más tramas CONTINUATION, HEADERS o PUSH_PROMISE. Se ha descubierto una vulnerabilidad en varias implementaciones que no limitan la cantidad de tramas CONTINUATION que se pueden enviar dentro de un mismo flujo de datos.

La implementación continuará recibiendo tramas mientras no se active el flag END_HEADERS durante estas comunicaciones. Un atacante puede inicializar una conexión a un servidor con tramas HTTP/2 típicas y luego recibir tramas iniciales del servidor. El atacante puede entonces comenzar una petición HTTP sin flags END_HEADERS establecidas. Esto puede permitir a un atacante enviar un flujo de tramas CONTINUATION al servidor de destino, lo que puede provocar un bloqueo por falta de memoria, permitiendo a un atacante lanzar un ataque de denegación de servicio (DoS) contra un servidor de destino que utilice una implementación vulnerable.

Además, un atacante puede enviar tramas CONTINUATION codificadas con HPACK Huffman a una implementación de destino. Esto puede causar el agotamiento de los recursos de la CPU y dar lugar a una denegación de servicio, ya que la CPU debe decodificar cada trama codificada que recibe.

Por ahora se ha observado que los siguientes productos se han visto afectados por esta vulnerabilidad en su implementación de HTTP/2:

 – amphp/http (CVE-2024-2653)

 – Apache HTTP Server (CVE-2024-27316)

 – Apache Tomcat (CVE-2024-24549)

 – Apache Traffic Server (CVE-2024-31309)

 – Envoy proxy (CVE-2024-27919 y CVE-2024-30255)

 – Golang (CVE-2023-45288)

 – h2 Rust crate, nghttp2 (CVE-2024-28182)

 – Node. js (CVE-2024-27983)

 – Tempesta FW (CVE-2024-2758)

Recomendaciones 

Se recomienda revisar las ultimas actualizaciones publicadas para los productos afectados y que se actualice el software a la última versión para mitigar las posibles amenazas.

En caso  de que no se hayan publicados actualizaciones para el producto afectado, como mitigación de la vulnerabilidad, se aconseja considerar la desactivación temporal de HTTP/2 en el servidor.

Referencias

https://kb.cert.org/vuls/id/421644

https://thehackernews.com/2024/04/new-http2-vulnerability-exposes-web.html