11 de julio de 2024Sala de prensaSeguridad de software / Vulnerabilidad GitLab ha enviado otra ronda de actualizaciones para cerrar fallas de seguridad en su plataforma de desarrollo de software, incluido un error crítico que permite a un atacante ejecutar trabajos de pipeline como un usuario arbitrario. Identificada como CVE-2024-6385, la vulnerabilidad tiene una puntuación CVSS de 9,6 sobre un máximo de 10,0. «Se descubrió un problema en GitLab CE/EE que afecta a las versiones 15.8 anteriores a la 16.11.6, 17.0 anteriores a la 17.0.4 y 17.1 anteriores a la 17.1.2, que permite a un atacante activar un pipeline como otro usuario en determinadas circunstancias», dijo la compañía en un aviso del miércoles. Vale la pena señalar que la empresa corrigió un error similar a fines del mes pasado (CVE-2024-5655, puntuación CVSS: 9.6) que también podría usarse como arma para ejecutar pipelines como otros usuarios. GitLab también abordó un problema de gravedad media (CVE-2024-5257, puntuación CVSS: 4.9) que permite a un usuario desarrollador con permisos admin_compliance_framework modificar la URL de un espacio de nombres de grupo. Todas las deficiencias de seguridad se han corregido en las versiones 17.1.2, 17.0.4 y 16.11.6 de GitLab Community Edition (CE) y Enterprise Edition (EE). La divulgación se produce cuando Citrix lanzó actualizaciones para una falla crítica de autenticación incorrecta que afecta a NetScaler Console (anteriormente NetScaler ADM), NetScaler SDX y NetScaler Agent (CVE-2024-6235, puntuación CVSS: 9.4) que podría resultar en la divulgación de información. Broadcom también ha publicado parches para dos vulnerabilidades de inyección de gravedad media en VMware Cloud Director (CVE-2024-22277, puntuación CVSS: 6,4) y VMware Aria Automation (CVE-2024-22280, puntuación CVSS: 8,5) que podrían utilizarse para ejecutar código malicioso mediante etiquetas HTML y consultas SQL especialmente diseñadas, respectivamente. CISA publica boletines para abordar fallos de software Los desarrollos también siguen a un nuevo boletín publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) que insta a los fabricantes de tecnología a eliminar los fallos de inyección de comandos del sistema operativo (SO) en el software que permiten a los actores de amenazas ejecutar código de forma remota en dispositivos de borde de la red. Dichos fallos surgen cuando la entrada del usuario no se desinfecta y valida adecuadamente al construir comandos que se ejecutarán en el sistema operativo subyacente, lo que permite a un adversario contrabandear comandos arbitrarios que pueden conducir a la implementación de malware o al robo de información. «Las vulnerabilidades de inyección de comandos del sistema operativo se han podido prevenir desde hace mucho tiempo separando claramente la entrada del usuario del contenido de un comando», dijeron las agencias. «A pesar de este hallazgo, las vulnerabilidades de inyección de comandos del sistema operativo, muchas de las cuales son resultado de CWE-78, siguen siendo una clase de vulnerabilidad predominante». La alerta es la tercera de este tipo emitida por CISA y el FBI desde principios de año. Las agencias enviaron anteriormente otras dos alertas sobre la necesidad de eliminar las vulnerabilidades de inyección SQL (SQLi) y de cruce de rutas en marzo y mayo de 2024. El mes pasado, CISA, junto con agencias de ciberseguridad de Canadá y Nueva Zelanda, también publicó una guía que recomendaba a las empresas adoptar soluciones de seguridad más sólidas, como Zero Trust, Secure Service Edge (SSE) y Secure Access Service Edge (SASE), que brindan una mayor visibilidad de la actividad de la red. «Al utilizar políticas de control de acceso basadas en riesgos para tomar decisiones a través de motores de decisión de políticas, estas soluciones integran la seguridad y el control de acceso, fortaleciendo la usabilidad y la seguridad de una organización a través de políticas adaptativas», señalaron las agencias autoras. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.