Alertas

CISA ha añadido 13 nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Conocidas y Explotadas (Exploited Vulnerabilities Catalog), basándose en la evidencia de las vulnerabilidades que los atacantes están explotando de forma activa enumeradas en la siguiente lista. Este tipo de vulnerabilidades son un vector de ataque frecuente para delincuentes informáticos de todo tipo y suponen un riesgo importante para las empresas.

• CVE-2021-32648, October CMS en una plataforma CMS basada en el Framework PHP Laravel. En las versiones afectadas del paquete october/system, un atacante puede solicitar el restablecimiento de la contraseña de una cuenta y, a continuación, obtener acceso a la cuenta mediante una solicitud especialmente diseñada. El problema ha sido corregido en la Build 472 y en la v1.1.5.
• CVE-2020-14864, Oracle Corporation, Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Instalación). Las versiones afectadas son 5.5.0.0, 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad, fácilmente explotable, permite a un atacante no autentificado con acceso a la red a través de HTTP comprometer la Edición Oracle Business Intelligence Enterprise. Los ataques exitosos de esta vulnerabilidad puede resultar en el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Business Intelligence Enterprise Edition. Puntuación base de CVSS 3.1: 7,5 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N). El problema ha sido corregido en el parche de octubre de 2020.
• CVE-2021-40870, Aviatrix, es posible la carga sin restricciones de un archivo peligroso, lo que permite a un usuario no autenticado ejecutar código arbitrario a través del cruce de directorios. El problema ha sido corregido con un parche de seguridad.
• CVE-2020-11978, Apache, Se encontró un problema en las versiones de Apache Airflow 1.10.10 y posteriores. Se descubrió una vulnerabilidad de inyección remota de código/comandos en uno de los DAGs de ejemplo que se suministran con Airflow, lo que permitiría a cualquier usuario autenticado ejecutar comandos arbitrarios. Si ya tiene los ejemplos deshabilitados estableciendo load_examples=False en la configuración, entonces no es vulnerable. Se recomienda actualizar a Airflow 1.10.11 para solucionar todas estas vulnerabilidades.
• CVE-2021-21975, VMWare, La falsificación de solicitudes del lado del servidor (SSRF) en la API de vRealize Operations Manager anterior a la versión 8.4 puede permitir que un atacante con acceso a la red a la API de vRealize Operations Manager realice un ataque SSRF para robar credenciales administrativas. Se recomienda aplicar la versión KB85382 para solucionar los problemas.
• CVE-2021-25296, Nagios, La versión xi-5.7.5 de Nagios XI está afectada por la inyección de comandos en el sistema operativo. La vulnerabilidad existe en el archivo /usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.php debido a un incorrecto tratamiento de la entrada controlada por el usuario autenticado mediante una única petición HTTP, que puede conducir a la inyección de comandos del SO en el servidor de Nagios XI. Se recomienda aplicar las actualizaciones según las instrucciones del proveedor.
• CVE-2021-22991, F5, En las versiones de BIG-IP 16.0.x antes de la 16.0.1.1, 15.1.x, 15.1.2.1, 14.1.x, 14.1.4, 13.1.x, 13.1.3.6, 12.1.x, y 2.1.5.3, las solicitudes no reveladas a un servidor virtual pueden ser manejadas incorrectamente por la normalización URI del Microkernel de Gestión de Tráfico (TMM), lo que puede desencadenar un desbordamiento de búfer, dando lugar a un ataque DoS. En ciertas situaciones, puede permitir teóricamente eludir el control de acceso basado en URL o la ejecución remota de código (RCE). Nota: No se evalúan las versiones de software que han alcanzado el Fin de Desarrollo de Software (EoSD). Se recomienda aplicar las actualizaciones según las instrucciones del proveedor.
• CVE-2021-25298, Nagios, La versión xi-5.7.5 de Nagios XI está afectada por la inyección de comandos en el sistema operativo. La vulnerabilidad existe en el archivo /usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.php debido a un incorrecto tratamiento de la entrada controlada por el usuario autenticado mediante una única petición HTTP, que puede conducir a la inyección de comandos del SO en el servidor de Nagios XI. Se recomienda aplicar las actualizaciones según las instrucciones del proveedor.
• CVE-2020-13671, Drupal, El núcleo de Drupal no depura correctamente ciertos nombres de archivo en los ficheros subidos, lo que puede llevar a que los archivos se interpreten como una extensión incorrecta y se sirvan como un tipo MIME erróneo o se ejecuten como PHP para ciertas configuraciones de alojamiento. Este problema afecta a: Drupal Core 9.0 versiones anteriores a la 9.0.8, 8.9 versiones anteriores a la 8.9.9, 8.8 versiones anteriores a la 8.8.11, y 7 versiones anteriores a la 7.74. Se recomienda instalar la última versión.
• CVE-2021-33766, Microsoft, Los servidores Microsoft Exchange contienen una vulnerabilidad de divulgación de información que puede permitir a un atacante no autenticado robar el tráfico de correo electrónico del objetivo. Se recomienda aplicar las actualizaciones según las instrucciones del proveedor.
• CVE-2020-13927, Apache, La anterior configuración por defecto de la API experimental de Airflow era permitir todas las solicitudes de la API sin autenticación, pero esto supone riesgos de seguridad para los usuarios que no lo tengan en cuenta. A partir de la versión 1.10.11 de Airflow se ha cambiado la configuración por defecto para denegar todas las solicitudes por defecto y está documentado en https://airflow.apache.org/docs/1.10.11/security.html#api-authentication. Observe que este cambio soluciona el problema para las nuevas actualizaciones, pero los usuarios existentes deben cambiar su configuración a `[api]auth_backend = airflow.api.auth.backend.deny_all` como se menciona en la Guía de Actualización: https://github.com/apache/airflow/blob/1.10.11/UPDATING.md#experimental-api-will-deny-all-request-by-default.
• CVE-2021-21315, Npm Package, La biblioteca de información del sistema para Node.JS (paquete npm "systeminformation") es una colección de funciones de código abierto para recuperar información detallada sobre el hardware, el sistema y el SO. En systeminformation antes de la versión 5.3.1 existe una vulnerabilidad de inyección de comandos. El problema se solucionó en la versión 5.3.1. Como solución en lugar de actualizar, asegúrese de comprobar o depurar los parámetros de servicio que se pasan a si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() ... sólo permiten cadenas, rechazan cualquier matriz.
• CVE-2021-25297, Nagios, La versión xi-5.7.5 de Nagios XI está afectada por la inyección de comandos en el sistema operativo. La vulnerabilidad existe en el archivo /usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.php debido a un incorrecto tratamiento de la entrada controlada por el usuario autenticado mediante una única petición HTTP, que puede conducir a la inyección de comandos del SO en el servidor de Nagios XI. Se recomienda aplicar las actualizaciones según las instrucciones del proveedor.

El BOD (Binding Operational Directive) 22-01 exige a los organismos del FCEB que corrijan las vulnerabilidades para proteger las redes del FCEB contra las amenazas activas. Aunque el BOD 22-01 sólo se aplica a los organismos del FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a los ciberataques dando prioridad a la corrección oportuna de las vulnerabilidades del catálogo como parte de su práctica de gestión de vulnerabilidades.

Fuente: https://www.cisa.gov/known-exploited-vulnerabilities-catalog