Autor: Seguridad CSIRT-CV

Microsoft ha publicado actualizaciones de seguridad para el mes de abril de 2024 para corregir 149 vulnerabilidades, dos de las cuales han sido explotadas activamente en la naturaleza.

Análisis

De los 149 defectos, tres están clasificados como críticos, 142 como importantes, tres como moderados y uno como de gravedad baja. De entre todas las vulnerabilidades, se destacan las siguientes:

• • CVE-2024-26234 (puntuación CVSS: 6,7): vulnerabilidad de suplantación de identidad del controlador proxy
  • CVE-2024-29988 (puntuación CVSS: 8,8): vulnerabilidad de omisión de función de seguridad de solicitud de SmartScreen
  • CVE-2024-29990 (puntuación CVSS: 9,0), vulnerabilidad de elevación de privilegios que afecta al contenedor confidencial del servicio Microsoft Azure Kubernetes y que podría ser explotada por atacantes no autenticados para robar credenciales.

Recomendaciones 

Actualizar a las últimas versiones publicadas por Microsoft.

Referencias

https://thehackernews-com.translate.goog/2024/04/microsoft-fixes-149-flaws-in-huge-april.html?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=es

Cisco advierte sobre un fallo de secuencias de comandos entre sitios (XSS) en los enrutadores RV016, RV042, RV042G, RV082, RV320 y RV325 para pequeñas empresas.

Análisis

El problema de gravedad media, registrado como CVE-2024-20362 (puntaje CVSS 6.1), reside en la interfaz de administración basada en web de los enrutadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325. Un atacante remoto no autenticado puede realizar un ataque de secuencias de comandos entre sitios (XSS) contra un usuario de la interfaz.
Los dispositivos afectados son enrutadores para pequeñas empresas de la serie RV al final de su vida útil (EoL) y que la compañía no lanzará actualizaciones de software para solucionar el problema. No existen soluciones alternativas que aborden esta vulnerabilidad.

Recursos afectados

• El fallo afecta todas las versiones de software para los siguientes enrutadores para pequeñas empresas de la serie Cisco RV:

◦ Enrutadores VPN multiWAN RV016
◦ Enrutadores VPN WAN duales RV042
◦ Enrutadores VPN WAN Gigabit duales RV042G
◦ Enrutadores VPN WAN duales RV082
◦ Enrutadores VPN WAN Gigabit duales RV320
◦ Enrutadores VPN WAN Gigabit duales RV325

Recomendaciones 

Para mitigar esta vulnerabilidad en los enrutadores Cisco Small Business RV320 y RV325, la empresa recomienda desactivar la administración remota.
Para mitigar esta vulnerabilidad en los enrutadores Cisco Small Business RV016, RV042, RV042G y RV082, la compañía recomienda deshabilitar la administración remota y bloquear el acceso a los puertos 443 y 60443. Los enrutadores seguirán siendo accesibles a través de la interfaz LAN después de implementar la mitigación.

Cisco no tiene conocimiento de ataques que exploten esta vulnerabilidad, por lo que la empresa insta a los clientes a migrar a un producto compatible.

Referencias

https://securityaffairs.com/161540/security/cisco-eof-routers-xss.htm

El 4 de Abril se publicó una vulnerabilidad en la implementación que hacen del protocolo HTTP/2 varios proyectos de servidores web que podría usarse para crashear un equipo y por ello ser utilizado para una denegación de servicio (DoS).

Análisis

HTTP/2 utiliza campos de encabezado en los mensajes de solicitud y respuesta HTTP. Los campos de encabezado pueden incluir listas de encabezados, que a su vez se dividen en bloques de encabezados. Estos bloques de encabezado se transmiten en múltiples fragmentos a la implementación de destino. Las tramas HTTP/2 CONTINUATION se utilizan para continuar una secuencia de fragmentos de bloques de campos. Se utilizan para dividir bloques de encabezado en múltiples tramas. Los otros dos tipos de fragmentos de bloques de encabezado son HEADERS o PUSH_PROMISE. Las tramas CONTINUATION pueden utilizarse para continuar un fragmento de bloque de cabecera que no pudo ser transmitido por las tramas HEADERS o PUSH_PROMISE. Un bloque de cabecera se considera completado cuando el servidor recibe un flag END_HEADERS establecida. Con ello se pretende indicar que no hay más tramas CONTINUATION, HEADERS o PUSH_PROMISE. Se ha descubierto una vulnerabilidad en varias implementaciones que no limitan la cantidad de tramas CONTINUATION que se pueden enviar dentro de un mismo flujo de datos.

La implementación continuará recibiendo tramas mientras no se active el flag END_HEADERS durante estas comunicaciones. Un atacante puede inicializar una conexión a un servidor con tramas HTTP/2 típicas y luego recibir tramas iniciales del servidor. El atacante puede entonces comenzar una petición HTTP sin flags END_HEADERS establecidas. Esto puede permitir a un atacante enviar un flujo de tramas CONTINUATION al servidor de destino, lo que puede provocar un bloqueo por falta de memoria, permitiendo a un atacante lanzar un ataque de denegación de servicio (DoS) contra un servidor de destino que utilice una implementación vulnerable.

Además, un atacante puede enviar tramas CONTINUATION codificadas con HPACK Huffman a una implementación de destino. Esto puede causar el agotamiento de los recursos de la CPU y dar lugar a una denegación de servicio, ya que la CPU debe decodificar cada trama codificada que recibe.

Por ahora se ha observado que los siguientes productos se han visto afectados por esta vulnerabilidad en su implementación de HTTP/2:

 – amphp/http (CVE-2024-2653)

 – Apache HTTP Server (CVE-2024-27316)

 – Apache Tomcat (CVE-2024-24549)

 – Apache Traffic Server (CVE-2024-31309)

 – Envoy proxy (CVE-2024-27919 y CVE-2024-30255)

 – Golang (CVE-2023-45288)

 – h2 Rust crate, nghttp2 (CVE-2024-28182)

 – Node. js (CVE-2024-27983)

 – Tempesta FW (CVE-2024-2758)

Recomendaciones 

Se recomienda revisar las ultimas actualizaciones publicadas para los productos afectados y que se actualice el software a la última versión para mitigar las posibles amenazas.

En caso  de que no se hayan publicados actualizaciones para el producto afectado, como mitigación de la vulnerabilidad, se aconseja considerar la desactivación temporal de HTTP/2 en el servidor.

Referencias

https://kb.cert.org/vuls/id/421644

https://thehackernews.com/2024/04/new-http2-vulnerability-exposes-web.html

El pasado día 25 de Marzo, se publicó una vulnerabilidad crítica de inyección SQL en el plugin LayerSlider puede ser explotada para extraer información sensible de las bases de datos de un sitio web.

Dicho plugin de sliders para WordPress con más de un millón de instalaciones activas, ofrece a los usuarios funciones de edición visual de contenidos web, efectos visuales digitales y diseño gráfico en una única solución.

Análisis

CVE-2024-2879 (CVSS 9.8 Crítica): El plugin LayerSlider para WordPress es vulnerable a la inyección SQL a través de la acción ls_get_popup_markup en las versiones 7.9.11 y 7.10.0 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes no autenticados añadan consultas SQL adicionales a consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.

Recomendaciones 

Se recomienda actualizar a la versión 7.10.1 del plugin LayerSlider en la cual se solventa la vulnerabilidad reportada. 

Referencias

https://www.wordfence.com/blog/2024/04/5500-bounty-awarded-for-unauthenticated-sql-injection-vulnerability-patched-in-layerslider-wordpress-plugin/

https://www.cve.org/CVERecord?id=CVE-2024-2879

https://thehackernews.com/2024/04/critical-security-flaw-found-in-popular.html