Inicio / Content / Boletín de INCIBE-CERT del 03-03-2021

Boletín de INCIBE-CERT del 03-03-2021

Múltiples vulnerabilidades en GRUB2

Fecha de publicación: 
03/03/2021
Importancia: 
4 - Alta
Recursos afectados: 

Todos los sistemas que hagan uso de GRUB2.

Descripción: 

Se han reportado varios fallos de seguridad en GRUB2 que podrían permitir a un atacante cargar tablas ACPI especialmente diseñadas, ejecutar código arbitrario, eludir las protecciones de Secure Boot, arrancar un kernel especialmente diseñado o corromper la memoria.

Solución: 

Se han publicado 117 parches que solucionan estas vulnerabilidades. Además, se está trabajando en un esquema de revocación basado en el número de generación denominado UEFI Secure Boot Advanced Targeting (SBAT) que requerirá una liberación de UEFI dbx y renunciar a todos los artefactos (shim, GRUB, kernel, etc.) necesarios para arrancar el sistema, así como la creación de una lista de revocación UEFI (dbx). Los diferentes fabricantes y distribuciones publicarán las respectivas instrucciones de actualización.

Puede consultar la sección de Referencias para obtener más información sobre las actualizaciones de diferentes fabricantes.

Detalle: 
  • El comando acpi permite al usuario privilegiado cargar tablas ACPI especialmente diseñadas, cuando el arranque seguro está activado. Se ha asignado el identificador CVE-2020-14372 para esta vulnerabilidad.
  • Una vulnerabilidad de uso de memoria previamente liberada en el comando rmmod podría permitir a un atacante ejecutar código arbitrario y eludir las protecciones de Secure Boot. Se ha asignado el identificador CVE-2020-25632 para esta vulnerabilidad.
  • Una escritura fuera de límites en grub_usb_device_initialize() podría permitir a un atacante la ejecución de código arbitrario, permitiendo eludir los mecanismos de protección de Secure Boot. Se ha asignado el identificador CVE-2020-25647 para esta vulnerabilidad.
  • Un desbordamiento de búfer basado en pila (stack), en grub_parser_split_cmdline, podría permitir a un atacante eludir los mecanismos de protección de Secure Boot. Se ha asignado el identificador CVE-2020-27749 para esta vulnerabilidad.
  • El comando cutmem permite a un usuario con privilegios borrar regiones de memoria cuando Secure Boot está activado. Se ha asignado el identificador CVE-2020-27779 para esta vulnerabilidad.
  • Un fallo que afecta a upstream y a las distribuciones que utilizan el verificador shim_lock podría permitir el arranque de cualquier kernel especialmente diseñado, sin validación de firma, al reintroducir la vulnerabilidad CVE-2020-15705 en GRUB 2.05. Se ha asignado el identificador CVE-2021-3418 para esta vulnerabilidad.
  • El analizador de opciones de GRUB2 podría permitir a un atacante el desbordamiento de búfer basado en memoria dinámica (heap). Se ha asignado el identificador CVE-2021-20225 para esta vulnerabilidad.
  • El desbordamiento de búfer basado en memoria dinámica (heap) debido a un cálculo erróneo del espacio necesario para las citas (quotes) podría permitir a un atacante corromper la memoria. Se ha asignado el identificador CVE-2021-20233 para esta vulnerabilidad.

Encuesta valoración

Actualización de seguridad de Joomla! 3.9.25

Fecha de publicación: 
03/03/2021
Importancia: 
3 - Media
Recursos afectados: 

Joomla! CMS, versiones:

  • desde la 3.2.0, hasta la 3.9.24;
  • desde la 3.0.0, hasta la 3.9.24;
  • desde la 2.5.0, hasta la 3.9.24;
  • desde la 1.6.0, hasta la 3.9.24.
Descripción: 

Joomla! ha publicado una nueva versión que soluciona 10 vulnerabilidades que afectan a su núcleo, de los tipos aleatoriedad insegura, XSS (Cross Site Scripting), validación de entrada incorrecta, violación ACL (Access Control List) y limitación inadecuada de una ruta de acceso a un directorio restringido (path traversal).

Solución: 

Actualizar a la versión 3.9.25.

Detalle: 
  • Uso de la función insegura rand() dentro del proceso de generación de 2FA (autenticación de dos factores). Se ha asignado el identificador CVE-2021-23126 para esta vulnerabilidad.
  • Uso de una longitud insuficiente para el proceso 2FA según el RFC 4226 de 10 bytes frente a 20 bytes. Se ha asignado el identificador CVE-2021-23127 para esta vulnerabilidad.
  • La implementación de randval en el núcleo de FOF (FOFEncryptRandval), a pesar de no ser utilizada, empleaba una implementación potencialmente insegura que ha sido reemplazada por una llamada a random_bytes() y su backport que se envía dentro de random_compat. Se ha asignado el identificador CVE-2021-23128 para esta vulnerabilidad.
  • La falta de filtrado de los mensajes mostrados a los usuarios podrían dar lugar a una vulnerabilidad de XSS. Se ha asignado el identificador CVE-2021-23129 para esta vulnerabilidad.
  • La falta de filtrado de los campos de feed podría dar lugar a una vulnerabilidad de XSS. Se ha asignado el identificador CVE-2021-23130 para esta vulnerabilidad.
  • Falta la validación de entradas en el gestor de plantillas. Se ha asignado el identificador CVE-2021-23131 para esta vulnerabilidad.
  • El componente com_media podría permitir rutas que no están destinadas a la carga de imágenes. Se ha asignado el identificador CVE-2021-23132 para esta vulnerabilidad.
  • Las comprobaciones incorrectas de ACL podrían permitir el cambio no autorizado de la categoría de un artículo. Se ha asignado el identificador CVE-2021-26027 para esta vulnerabilidad.
  • La extracción de un paquete zip, específicamente diseñado, podría modificar archivos fuera de la ruta prevista. Se ha asignado el identificador CVE-2021-26028 para esta vulnerabilidad.
  • Un filtrado inadecuado del contenido de los formularios podría permitir sobrescribir el campo author. Los componentes principales afectados son com_fields, com_categories, com_banners, com_contact, com_newsfeeds y com_tags. Se ha asignado el identificador CVE-2021-26029 para esta vulnerabilidad.

Encuesta valoración

[Actualización 13/04/2021] Actualización fuera de ciclo de Microsoft Exchange Server

Fecha de publicación: 
03/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Microsoft Exchange Server 2013,
  • Microsoft Exchange Server 2016,
  • Microsoft Exchange Server 2019.
Descripción: 

Microsoft ha publicado actualizaciones de seguridad fuera del ciclo mensual habitual, para solucionar varias vulnerabilidades que afectan a Microsoft Exchange Server. Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial.

La empresa ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente.

Solución: 

Microsoft ha publicado las siguientes actualizaciones de seguridad:

Además, recomienda instalar estas actualizaciones de manera inmediata.

Igualmente, ha compartido los indicadores de compromiso (IOC) para poder verificar si sus sistemas se han visto afectados por este ataque.

[Actualización 08/03/2021]: Microsoft ha publicado una serie de medidas de mitigación para aquellos que no puedan instalar las actualizaciones de manera inmediata. Para consultar el detalle de estas medidas puede consultar el siguiente enlace. Asimismo, el CISA también ha publicado su propio aviso.

[Actualización 17/03/2021]: Microsoft ha publicado una herramienta "one-click mitigation tool", que también cuenta con la ultima versión del Microsoft Safety Scanner, y que permite mitigar automáticamente la vulnerabilidad CVE-2021-26855 en cualquier Exchange server de la forma más rápida y fácil posible, antes de aplicar la actualización. Microsoft recomienda descargar y ejecutar esta herramienta a todos aquellos que aun no hayan aplicado la actualización de seguridad correspondiente.

[Actualización 13/04/2021]: el CISA ha añadido 2 nuevos Malware Analysis Reports (MARs) a la alerta AA21-062A:

Detalle: 

Microsoft ha informado de la existencia de varias vulnerabilidades, que en su conjunto podrían comprometer un equipo con Microsoft Exchange Server. Los identificadores de estas vulnerabilidades son: CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, y CVE-2021-26855.

El vector inicial del ataque se establece a través de una conexión no confiable con el puerto 443 del servidor Exchange, pero el bloqueo de estas conexiones solo protege de una parte inicial del ataque. No obstante, otros vectores pueden activarse si un atacante ya tiene acceso.

Microsoft ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente por un grupo identificado como HAFNIUM.

[Actualización 15/03/2021] CISA ha publicado 7 reportes de análisis de malware (MARs) a su alerta AA21-062A. Cada MAR identifica un webshell asociado a la explotación de las vulnerabilidades en los productos de Microsoft Exchange Server.

[Actualización 26/03/2021] CISA ha publicado 2 nuevos reportes de análisis de malware (MARs) a su alerta AA21-062A, identificando un total de 9 webshells asociados a la explotación de las vulnerabilidades.

Encuesta valoración