Inicio / Content / Boletín de INCIBE-CERT del 03-05-2019

Boletín de INCIBE-CERT del 03-05-2019

Múltiples vulnerabilidades en comunicadores de GE

Fecha de publicación: 
03/05/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Communicator Installer, Application, PostGreSQL, MeterManager y WISE Uninstaller, versiones anteriores a la 4.0.517.
Descripción: 

El investigador Reid Wightman de Dragos ha reportado varias vulnerabilidades de tipo: ruta de búsqueda no controlada, uso de credenciales embebidas y control de acceso incorrecto. Un potencial atacante podría obtener permisos de administrador, manipular widgets e interfaces de usuario, obtener el control de la base de datos o ejecutar comandos reservados para administración.

Solución: 
Detalle: 
  • Un atacante sin permisos administrativos podría colocar archivos maliciosos en el directorio de archivos del instalador para obtener privilegios administrativos en un sistema durante la instalación o la actualización. Se ha reservado el identificador CVE-2019-6564 para esta vulnerabilidad.
  • Un atacante podría colocar archivos maliciosos en el directorio de trabajo del programa para manipular widgets y elementos de la interfaz de usuario. Se ha reservado el identificador CVE-2019-6546 para esta vulnerabilidad.
  • Existen dos cuentas de usuarios, consideradas backdoors, que podrían permitir el control sobre la base de datos por parte de un atacante. Este servicio es inaccesible para un atacante si la víctima usa la configuración predeterminada del cortafuegos de Windows. Se ha reservado el identificador CVE-2019-6548 para esta vulnerabilidad.
  • Un servicio ejecutado con permisos del sistema, podría permitir a un atacante sin permisos realizar ciertas acciones administrativas, lo que puede permitir la ejecución de scripts programados con privilegios de administrador en el sistema. Este servicio es inaccesible para los atacantes si el usuario víctima usa la configuración predeterminada del cortafuegos de Windows. Se ha reservado el identificador CVE-2019-6544 para esta vulnerabilidad.
  • Un atacante sin permisos de administración puede reemplazar el desinstalador con una versión maliciosa para obtener privilegios de administrador en el sistema. Se ha reservado el identificador CVE-2019-6566 para esta vulnerabilidad

Encuesta valoración

Múltiples vulnerabilidades en AirLink ALEOS de Sierra Wireless

Fecha de publicación: 
03/05/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • LS300, GX400, GX440 y ES440, versión 4.4.8 y anteriores.
  • GX450 y ES450, versiones anteriores a la 4.9.4.
  • MP70, MP70E, RV50, RV50X, LX40 y LX60, versiones anteriores a la 4.12.
Descripción: 

Los investigadores Carl Hud y Jared Rittle, de Cisco Talos, han identificado varias vulnerabilidades de tipo inyección de comandos de SO, uso de credenciales embebidas, subida no restringida de ficheros peligrosos, cross-site scripting (XSS), cross-site request forgery (CSRF), exposición de información, falta de encriptación en datos sensibles, cambio de contraseña no verificado y asignación de permisos incorrecta para recursos críticos que afectan a los productos AirLink ALEOS de Sierra Wireless. La explotación exitosa de estas vulnerabilidades permitiría a un atacante ejecutar código remoto, averiguar credenciales de usuario, subir archivos o descubrir rutas de fichero.

Solución: 

El fabricante recomienda actualizar a las últimas versiones de ALEOS para los productos y versiones listadas a continuación (algunas aún no están disponibles):

  • LS300, GX400, GX440, ES440: ALEOS 4.4.9 (disponible a finales de 2019).
  • GX450, ES450: ALEOS 4.9.4.p09 (disponible actualmente).
  • MP70, MP70E, RV50, RV50X, LX40, LX60: ALEOS 4.12.

Sierra Wireless recomienda, además, seguir las siguientes indicaciones:

  • Asegurar el uso de una contraseña robusta.
  • Si ALEOS Application Framework (AAF) está activado, asegurarse de que se usa una contraseña robusta para la cuenta de usuario AAF.
  • Si se utiliza Telnet o SSH, asegurarse de que se usa una contraseña robusta para la cuenta de la consola.
  • Al conectar directamente al ACEmanager:
    • Usar únicamente HTTPS.
    • Utilizar un navegador moderno y actualizado, como Chrome, Firefox o Edge.
Detalle: 
  • Una petición HTTP autenticada, especialmente diseñada, puede inyectar comandos arbitrarios, resultando en la ejecución remota de código. Se ha reservado el identificador CVE-2018-4061 para esta vulnerabilidad.
  • La activación de SNMPD fuera del WebUI provocaría la activación de las credenciales codificadas, lo que resulta en la exposición de un usuario privilegiado. Un atacante puede activar SNMPD, sin ningún cambio de configuración, para explotar esta vulnerabilidad. Se ha reservado el identificador CVE-2018-4062 para esta vulnerabilidad.
  • Una petición HTTP autenticada, especialmente diseñada, puede cargar un archivo, lo que resulta en una carga de código ejecutable y enrutable al servidor web. Se ha reservado el identificador CVE-2018-4063 para esta vulnerabilidad.
  • Una petición HTTP, especialmente diseñada, puede causar un cambio de configuración de dispositivo no verificado, lo que resulta en un cambio no verificado de la contraseña de usuario en el dispositivo. Un atacante puede realizar una petición HTTP autenticada para explotar esta vulnerabilidad. Se ha reservado el identificador CVE-2018-4064 para esta vulnerabilidad.
  • Una petición ping HTTP, especialmente diseñada, puede hacer que JavaScript reflejado se ejecute en el navegador del usuario. Un atacante puede explotar esta vulnerabilidad, engañando a un usuario para que haga clic en un enlace o URL incrustada que redirija a la vulnerabilidad de secuencias de comandos entre sitios reflejada. Se ha reservado el identificador CVE-2018-4065 para esta vulnerabilidad.
  • Una solicitud HTTP, especialmente diseñada, puede hacer que un usuario autenticado realice solicitudes privilegiadas sin saberlo, lo que resulta en solicitudes no autenticadas a través de dicho usuario. El desencadenamiento de esta vulnerabilidad puede permitir que un atacante acceda a páginas autenticadas a través de un usuario identificado. Se ha reservado el identificador CVE-2018-4066 para esta vulnerabilidad.
  • Una petición HTTP autenticada, especialmente diseñada, puede causar una fuga de información, lo que da lugar a la revelación de las rutas internas de los archivos. Se ha reservado el identificador CVE-2018-4067 para esta vulnerabilidad.
  • Una petición HTTP puede dar lugar a la revelación de la configuración predeterminada del dispositivo. Un atacante puede enviar una petición HTTP no autenticada para explotar esta vulnerabilidad. Se ha reservado el identificador CVE-2018-4068 para esta vulnerabilidad.
  • La funcionalidad de autenticación de ACEManager se realiza en texto plano XML al servidor web. Un atacante puede escuchar el tráfico de la red desde el dispositivo para aprovechar esta vulnerabilidad. Se ha reservado el identificador CVE-2018-4069 para esta vulnerabilidad.
  • Una solicitud HTTP, especialmente diseñada, puede causar la revelación de información, lo que resulta en la exposición de información confidencial, incluyendo, pero no limitando a, contraseñas de texto plano y cadenas SNMP. Un atacante puede realizar una petición HTTP autenticada, o ejecutar el binario, para explotar esta vulnerabilidad. Se han reservado los identificadores CVE-2018-4070 y CVE-2018-4071 para esta vulnerabilidad.
  • Una petición HTTP, especialmente diseñada, puede hacer que se escriba una configuración arbitraria, lo que resulta en cambios no verificados en cualquier configuración del sistema. Un atacante puede realizar una petición HTTP autenticada, o ejecutar el binario como cualquier usuario, para explotar esta vulnerabilidad. Se han reservado lps identificadores CVE-2018-4072 y CVE-2018-4073 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en SiteOmat de Orpak

Fecha de publicación: 
03/05/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • SiteOmat, versiones anteriores a la 6.4.414.122
  • SiteOmat, versiones anteriores a la 6.4.414.084
Descripción: 

El investigador Ido Naor de Kaspersky Lab ha reportado varias vulnerabilidades de tipo uso de contraseñas embebidas, Cross-Site Scripting (XSS), Inyección SQL, falta de cifrado en datos sensibles, inyección de código y desbordamiento de búfer. La explotación exitosa de estas vulnerabilidades permitiría a un atacante ejecutar código remoto originando una posible denegación de servicio y acceso no autorizado para ver y editar información de monitorización, configuración y pago.

Solución: 
  • El fabricante recomienda actualizar las versiones afectadas a la versión v6.4.414.139 o posterior. La actualización puede obtenerse contactando con el fabricante en la página de soporte de Orpak (requiere registro previo).
Detalle: 
  • Uso de contraseñas embebidas: la aplicación utiliza credenciales embebidas. Se ha reservado el identificador CVE-2017-14728 para esta vulnerabilidad.
  • Cross-Site Scripting (XSS): la aplicación web no realiza un correcto filtrado de los parámetros de entrada, este hecho permite la explotación de Cross-Site Scripting. Se ha asignado el identificador CVE-2017-14850 para esta vulnerabilidad.
  • Inyección SQL: la aplicación no realiza el correcto filtrado de los parámetros de entrada. Este hecho podría permitir a un atacante acceder a información del producto mediante la introducción de una entrada especialmente diseñada. Se ha reservado el identificador CVE-2017-14851 para esta vulnerabilidad.
  • Falta de cifrado en datos sensibles: la aplicación envía información sensible en texto plano. Entre la información sensible enviada, se encuentran credenciales. Un atacante podría capturar las credenciales enviadas por red y saltarse la autenticación del producto afectado. Se ha reservado el identificador CVE-2017-14852 para esta vulnerabilidad.
  • Inyección de código: la aplicación no restringe adecuadamente los parámetros de entrada externos. Este hecho permitiría a un atacante no autenticado ejecutar código especialmente diseñado en el sistema víctima. Se ha reservado el identificador CVE-2017-14853 para esta vulnerabilidad.
  • Desbordamiento de búfer: la aplicación utiliza una función que acepta parámetros de entrada de usuarios. Dicha entrada no posee un correcto tratamiento por lo que un atacante podría ejecutar código arbitrario. Se ha reservado el identificador CVE-2017-14854 para esta vulnerabilidad.

Encuesta valoraciĂ³n

Etiquetas: