Archivos de la etiqueta: Vulnerabilidades

PHP Bajo Amenaza: Detalles y Soluciones para la Vulnerabilidad CVE-2024-4577

Publicado el por

Impacto Global y Medidas de Mitigación

🔴  Resumen de Actualizaciones: Investigadores de DEVCORE han publicado una vulnerabilidad crítica de ejecución remota de código (RCE) en PHP, rastreada como CVE-2024-4577, que afecta a casi todas las versiones de PHP en Windows (inicialmente se hablaba de las versiones 5.x y anteriores). Esta vulnerabilidad podría poner en riesgo millones de servidores en todo el mundo.

 

🔍 Detalles de la Vulnerabilidad:

Esta vulnerabilidad utiliza la función Best-Fit en la conversión de codificación en Windows permitiendo que los atacantes eludan las protecciones implementadas en la solución que se aplicaba sobre el CVE-2012-1823, utilizando secuencias de caracteres específicas, ejecutando código arbitrario a través de un ataque de inyección de argumentos.

  • Fecha de Descubrimiento: 7 de mayo de 2024
  • Fecha de Lanzamiento del Parche: 6 de junio de 2024
  • Impacto: Permite a atacantes no autenticados ejecutar código arbitrario en servidores PHP afectados, tomando control total de ellos.

 

🌐 Impacto Global: Detectado en sistemas Windows con configuraciones regionales específicas:

  • Chino Tradicional (Code Page 950)
  • Chino Simplificado (Code Page 936)
  • Japonés (Code Page 932)
  • ¿Resto de idiomas?: Si bien no están tan definidos, según el artículo de DEVCORE, no se descartan con seguridad, así que también recomiendan considerarlos como vulnerables.
  • Otros locales también pueden ser vulnerables dependiendo de los escenarios de uso de PHP.

 

🛡️ Versiones y Productos Afectados:

  • Según DEVCORE:
    • PHP 8.3 < 8.3.8
    • PHP 8.2 < 8.2.20
    • PHP 8.1 < 8.1.29
    • PHP 8.0, PHP 7, PHP 5 son End-of-Life así que son vulnerables por defecto (ver mitigación en estos casos)
    • TODAS las instalaciones de XAMPP, son vulnerables.

 

⚠️ Acción Recomendada:

  • Actualización Inmediata: Se recomienda encarecidamente actualizar a las versiones PHP 8.3.8, 8.2.20 y 8.1.29.
  • Para usuarios que NO pueden actualizar PHP: Existe una mitigación en código en la regla mod_rewrite, proporcionada por DEVCORE , pero se ha de evaluar si cumplen o no ciertos requisitos, ya que solo aplica en determinados escenarios hasta el momento.
  • Para usuarios de XAMPP: Hay que cambiar unos parámentros en el http server, que también, deben ser evaluados.

La recomendación general es estar atentos a las actualizaciones sobre este CVE ya que descubre varios posibles vectores según escenarios y despliegue que aún no están del todo definidos.

Mas info:

 

En Quasar Cibersecurity ya estamos diagramando posibles soluciones sobre un número bastante extenso de escenarios, si tienes dudas en la posibilidad de afectación sobre tu infraestructura no dudes en contactarnos.

Resumen de Actualizaciones de Seguridad de Chrome en Mayo 2024

Publicado el por

Un mes intenso, 4 actualizaciones

🔴  Resumen de Actualizaciones: En mayo de 2024, Google lanzó varias actualizaciones críticas para abordar múltiples vulnerabilidades de día cero en el navegador Chrome. Estas vulnerabilidades fueron explotadas activamente, lo que resalta la urgencia de que los usuarios apliquen las actualizaciones de inmediato. Posiblemente ha sido el mes con mayor liberación de versiones/actualizaciones desde Diciembre de 2023.

 

🔍 Vulnerabilidades Clave Abordadas durante Mayo 2024:

  1. CVE-2024-4761: Esta vulnerabilidad de día cero involucraba un desbordamiento de búfer en el heap en WebRTC, lo que permitía potencialmente a los atacantes ejecutar código arbitrario. Dada su naturaleza crítica, Google emitió un parche de emergencia.
  2. CVE-2024-4762: Esta vulnerabilidad estaba relacionada con una validación insuficiente en Mojo, una colección de bibliotecas de tiempo de ejecución que facilitan la comunicación entre procesos. La falla podía ser explotada para la ejecución remota de código.
  3. CVE-2024-4763: Otro problema crítico encontrado en el motor JavaScript, que permitía a los atacantes eludir las restricciones de seguridad y obtener privilegios elevados.
  4. CVE-2024-4764: Esta vulnerabilidad implicaba un desbordamiento de búfer en la memoria dinámica en la implementación de WebGL, lo que podría permitir la ejecución remota de código​.
  5. CVE-2024-5274: Vulnerabilidad de confusión de tipos en el motor V8 de JavaScript de Chrome. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario en los sistemas afectados, lo que puede resultar en robo de datos, corrupción del sistema y acceso no autorizado a información sensible.

 

Impacto y Recomendaciones: Las vulnerabilidades identificadas tenían implicaciones significativas, resumiendo:

  • Ejecución Remota de Código: Los atacantes podían tomar control de los sistemas afectados, ejecutar comandos arbitrarios y acceder a información sensible.
  • Escalación de Privilegios: Los exploits podían permitir a los atacantes obtener un acceso más alto del que se pretendía, llevando a compromisos más amplios del sistema.

 

🛡️ Versiones y Productos Afectados:

  • Las vulnerabilidades impactaron varias versiones de Chrome y potencialmente otros navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi.

Acción del Usuario: Google recomendó encarecidamente a los usuarios actualizar sus navegadores de inmediato para protegerse contra estas vulnerabilidades explotadas activamente. Las actualizaciones fueron parte del compromiso continuo de Google para mantener la seguridad e integridad de sus productos.

 

Las últimas Versiones Estables que estamos instalando y aseguran el mínimo impacto en el compromiso de la Seguridad son (a día de hoy 29/5/24):

  1. Chrome para Escritorio (Windows, Mac, Linux):
    • Versión: 125.0.6422.60 para Linux y 125.0.6422.60/.61 para Windows y Mac
  2. Chrome para Android:
    • Versión: 125.0.6422.53
  3. Chrome para iOS:
    • Versión: 125.0.6422.51
  4. Chrome OS:
    • Versión: 125.0.6422.64

 

Mas info:

Estas actualizaciones destacan la necesidad crítica de vigilancia continua y acción inmediata en ciberseguridad para proteger a los usuarios de amenazas emergentes.

Gran Actualización de Seguridad de Oracle: Abril 2024

Publicado el por

441 Parches... 372 Vulnerabilidades

La semana pasada, Oracle ha lanzado sus parches trimestrales siendo una de sus mayores actualizaciones de seguridad de los últimos años con 441 parches críticos liberados, solucionando 372 vulnerabilidades en diversos producto.

Entre estas, más de 30 vulnerabilidades han sido clasificadas con una severidad superior a 9.5 en la escala CVSSv3, destacando la urgencia de aplicar estos parches.

 

Entre las vulnerabilidades más críticas se encuentran:

  • CVE-2024-21234: Ejecución de código remoto en Oracle WebLogic Server. Se recomienda aplicar inmediatamente el parche disponible.
  • CVE-2024-21235: Ejecución de código remoto en Oracle Fusion Middleware. Actualización crítica necesaria para prevenir accesos no autorizados.
  • CVE-2024-21236: Ejecución de código remoto en Oracle Database Server. Se urge a los usuarios a actualizar a versiones seguras lo antes posible.

 

🔴 Riesgos Asociados:

  • Gobierno (grandes y medianas entidades, y entidades pequeñas): ALTO
  • Empresas (grandes y medianas empresas, y pequeñas empresas): ALTO
  • Usuarios domésticos: BAJO

 

🛡️ Acciones de Remediación:

Este proceso proactivo para nosotros implica reaccionar sobre la liberación del producto oficial, supervisar su incidencia sobre la infrastructura de nuestro cliente para poder diseñar una estrategia de parcheo que pasa en muchos casos por diferentes procesos manuales por la complejidad que llevan implícitas muchas de estas aplicaciones.

 

🔴 Productos y versiones afectadas:

Autonomous Health Framework

Management Cloud Engine

MySQL

Oracle Banking

OPatch

Oracle Access Manager

Oracle Agile

Oracle Application Testing Suite

Oracle BI

Oracle Big Data

Oracle Business Intelligence

Oracle Coherence

Oracle Commerce

Oracle Communications

Oracle Data Integrator

Oracle Database Server

Oracle Documaker

Oracle EBusiness

Oracle Enterprise Data Quality

Oracle Enterprise Manager

Oracle Essbase

Oracle Financial Services

Oracle FLEXCUBE Private Banking

Oracle Fusion

Oracle Global Lifecycle Management NextGen

Oracle GoldenGate

Oracle GraalVM

Oracle Healthcare

Oracle Hospitality

Oracle HTTP Server

Oracle Hyperion

Oracle Identity

Oracle Internet Directory

Oracle Java SE

Oracle Life Sciences

Oracle Managed File Transfer

Oracle Middleware Common Libraries and Tools

Oracle Outside In Technology

Oracle Retail

Oracle SDWAN Edge

Oracle Smart View for Office

Oracle SOA Suite

Oracle Solaris

Oracle StorageTek Tape Analytics

Oracle TimesTen InMemory Database

Oracle Transportation Management

Oracle Utilities

Oracle VM VirtualBox

Oracle Web Services

Oracle WebCenter

Oracle WebLogicOracle ZFS Storage Appliance Kit

OSS Support Tools

PeopleSoft Enterprise

Primavera

Siebel

Mas info:

Alerta de Seguridad de Oracle

https://www.cisecurity.org/advisory/oracle-quarterly-critical-patches-issued-april-16-2024_2024-042

QuasarCS_Patches_Oracle_Apr2024

Alerta de Seguridad: Vulnerabilidad Crítica en PuTTY, FileZilla, WinSCP y Tortoise

Publicado el por
QuasarCS_VulnoverSSH_CVE-2024-31497

CVE-2024-31497

En Quasar Cyber Security, hemos estado trabajando intensamente desde hace una semana para remediar una vulnerabilidad crítica identificada como CVE-2024-31497.

 

A día de hoy, esta vulnerabilidad sigue sin tener una puntuación CVSS asignada, lo que subraya la urgencia y la importancia de abordarla.

 

🔒 ¿Cuál es el problema?

La vulnerabilidad explota un sesgo en el proceso de firma ECDSA utilizado en la configuración NIST P-521, permitiendo que, tras recopilar un número finito de firmas, un atacante pueda reconstruir la clave privada SSH.

 

🔍 ¿De dónde podría un atacante obtener estas firmas?

Existen varias fuentes potenciales, desde un servidor SSH comprometido hasta commits firmados públicamente en Git.

 

🛡️ Acciones de Remediación:

En Quasar estamos implementando medidas proactivas para proteger a nuestros clientes y sus infraestructuras críticas. Esto incluye actualizar todas las herramientas afectadas a las versiones que han resuelto este fallo y revisar todas las claves SSH generadas durante el periodo vulnerable.

 

🔴 Productos y versiones afectadas:

PuTTY: Versiones 0.68 – 0.80.
FileZilla: Versiones 3.24.1 – 3.66.5.
WinSCP: Versiones 5.9.5 – 6.3.2.
TortoiseGit: Versiones 2.4.0.2 – 2.15.0.
TortoiseSVN: Versiones 1.10.0 – 1.14.6

 

Recomendamos a todos en la comunidad de seguridad que revisen sus sistemas para mitigar esta vulnerabilidad lo antes posible.

Mas info:

https://nvd.nist.gov/vuln/detail/CVE-2024-31497

https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2024-31497

https://docs.ccv.brown.edu/oscar/connecting-to-oscar/ssh/ssh-agent-forwarding/key-generation-and-agent-forwarding-with-putty

https://news.ycombinator.com/item?id=40044665