Descripción general El Equipo de respuesta a emergencias informáticas de la India (CERT-In) ha advertido a los usuarios sobre cinco vulnerabilidades de alta gravedad en las plataformas de back-office y de negociación de acciones móviles de Apex Softcell. La empresa privada de 32 años de antigüedad se centra en productos y soluciones para los mercados de capitales y la industria financiera, lo que hace que cualquier vulnerabilidad sea potencialmente crítica. Según el aviso de CERT-In publicado la semana pasada, las vulnerabilidades afectan a las versiones de Apex Softcell LD Geo anteriores a 4.0.0.7 y a las versiones de LD DP Back Office anteriores a 24.8.21.1 y podrían permitir que un atacante remoto realice una enumeración de usuarios, evite la verificación de OTP, manipule transacciones no autorizadas u obtenga acceso no autorizado a información confidencial de otras cuentas de usuario. Productos y vulnerabilidades afectados Los productos afectados incluyen versiones de Apex Softcell LD Geo anteriores a 4.0.0.7 y versiones de Apex Softcell LD DP Back Office anteriores a 24.8.21.1. Se han identificado varias vulnerabilidades, pero aún no se han anunciado, incluidas CVE-2024-47085, CVE-2024-47086, CVE-2024-47087, CVE-2024-47088 y CVE-2024-47089. CVE-2024-47085: vulnerabilidad de manipulación de parámetros Esta vulnerabilidad existe en el back office de LD DP debido a la validación incorrecta de los parámetros “cCdslClicentcode” y “cLdClientCode” en el punto final de la API. Los atacantes remotos autenticados podrían explotar esta vulnerabilidad mediante la manipulación de parámetros en el cuerpo de la solicitud de la API, lo que lleva a la exposición de información confidencial perteneciente a otros usuarios. CVE-2024-47086: Vulnerabilidad de omisión de OTP Otra vulnerabilidad de LD DP Back Office, esta causada por la implementación incorrecta de un mecanismo de validación de OTP en ciertos puntos finales de API, podría ser explotada por un atacante remoto autenticado que proporcione valores OTP arbitrarios para la autenticación, cambiando posteriormente la respuesta de API y omitiendo la verificación de OTP para otras cuentas de usuario. CVE-2024-47087: Vulnerabilidad de divulgación de información Esta vulnerabilidad en LD Geo se debe a la validación incorrecta de ciertos parámetros (ID de cliente, DPID o BOID) en el punto final de API. Los atacantes remotos autenticados podrían explotar esta vulnerabilidad manipulando parámetros en el cuerpo de la solicitud de API, lo que lleva a la exposición de información confidencial. CVE-2024-47088: Vulnerabilidad de enumeración de usuarios Esta vulnerabilidad en LD Geo se crea por la falta de restricciones para intentos de autenticación fallidos excesivos en su inicio de sesión basado en API. Los ataques remotos podrían explotar esto realizando un ataque de fuerza bruta en el OTP de inicio de sesión, lo que podría llevar al acceso no autorizado a otras cuentas de usuario. CVE-2024-47089: Vulnerabilidad de manipulación de transacciones no autorizadas Esta vulnerabilidad de LD Geo es causada por una validación incorrecta del ID del token de transacción en el punto final de la API. Los atacantes remotos autenticados podrían explotar esto manipulando el ID del token de transacción en la solicitud de API, lo que lleva al acceso no autorizado y la modificación de las transacciones que pertenecen a otros usuarios. Los usuarios deben actualizar Apex Softcell LD Geo a la versión 4.0.0.7 y Apex Softcell LD DP Back Office a la versión 24.8.21.1. Conclusión Los atacantes remotos podrían manipular transacciones, eludir la autenticación y acceder a información confidencial del usuario, y las implicaciones de estas vulnerabilidades podrían ser graves. Para mitigar estos riesgos, todos los usuarios de Apex Softcell LD Geo y LD DP Back Office deben actualizar inmediatamente a las últimas versiones: 4.0.0.7 y 24.8.21.1, respectivamente. Las medidas proactivas y las actualizaciones oportunas son esenciales para monitorear y proteger los datos financieros confidenciales, así como para mantener la integridad de las operaciones comerciales. Mitigación y recomendaciones Los usuarios deben actualizar a Apex Softcell LD Geo versión 4.0.0.7 y LD DP Back Office versión 24.8.21.1 para cerrar las vulnerabilidades identificadas. Asegúrese de que todos los puntos finales de API validen los parámetros de entrada rigurosamente para evitar la manipulación de parámetros y el acceso no autorizado. Emplee sistemas de detección de anomalías para identificar patrones inusuales, como intentos de inicio de sesión fallidos excesivos, que pueden indicar ataques de fuerza bruta. Realice evaluaciones de seguridad periódicas y pruebas de penetración en las plataformas comerciales para identificar y abordar vulnerabilidades de manera proactiva. Capacite a los usuarios para que reconozcan posibles intentos de phishing e intentos de acceso no autorizado, reforzando la importancia de contraseñas seguras y únicas. Aplique el principio del mínimo privilegio, otorgando a los usuarios solo el acceso necesario para sus funciones, lo que reduce el impacto de una cuenta comprometida. Suscríbase a los avisos de seguridad y manténgase al tanto de las vulnerabilidades recién descubiertas relacionadas con el software en uso para garantizar respuestas oportunas. Relacionado