Inicio / Content / Boletín de INCIBE-CERT del 09-03-2022

Boletín de INCIBE-CERT del 09-03-2022

[Actualización 14/03/2022] Actualizaciones de seguridad de Microsoft de marzo de 2022

Fecha de publicación: 
09/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • .NET and Visual Studio,
  • Azure Site Recovery,
  • Microsoft Defender for Endpoint,
  • Microsoft Defender for IoT,
  • Microsoft Edge (Chromium-based),
  • Microsoft Exchange Server,
  • Microsoft Intune,
  • Microsoft Office Visio,
  • Microsoft Office Word,
  • Microsoft Windows ALPC,
  • Microsoft Windows Codecs Library,
  • Paint 3D,
  • Role: Windows Hyper-V,
  • Skype Extension for Chrome,
  • Tablet Windows User Interface,
  • Visual Studio Code,
  • Windows Ancillary Function Driver for WinSock,
  • Windows CD-ROM Driver,
  • Windows Cloud Files Mini Filter Driver,
  • Windows COM,
  • Windows Common Log File System Driver,
  • Windows DWM Core Library,
  • Windows Event Tracing,
  • Windows Fastfat Driver,
  • Windows Fax and Scan Service,
  • Windows HTML Platform,
  • Windows Installer,
  • Windows Kernel,
  • Windows Media,
  • Windows PDEV,
  • Windows Point-to-Point Tunneling Protocol,
  • Windows Print Spooler Components,
  • Windows Remote Desktop,
  • Windows Security Support Provider Interface,
  • Windows SMB Server,
  • Windows Update Stack,
  • XBox.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de marzo, y que incluye toda la información comprendida entre el día 09/02/2022 y el día 08/03/2022 con la publicación del boletín de este mes, que consta de 101 vulnerabilidades (con CVE asignado), todos ellos calificados como: 3 son de severidad crítica, 68 importantes, 1 baja y 29 sin severidad asignada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • elusión de medidas de seguridad,
  • suplantación de identidad (spoofing),
  • modificación de los parámetros que se envían al servidor web como puntos de entrada de la aplicación (tampering).

Encuesta valoración

Actualización de seguridad de SAP de marzo de 2022

Fecha de publicación: 
09/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Fiori Launchpad, versiones: 754, 755 y 756;
  • SAP Business Objects Business Intelligence Platform, versiones 420 y 430;
  • SAP Content Server, versión 7.53;
  • SAP Financial Consolidation, versión 10.1;
  • SAP Focused Run, versiones: 200 y 300;
  • SAP Inventory Manager, versiones: 4.3 y 4.4;
  • SAP NetWeaver and ABAP Platform, versiones: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.4;
  • SAP NetWeaver Application Server for ABAP, versiones: 700, 701, 702 y 731;
  • SAP NetWeaver AS JAVA (Portal Basis), versión 7.50;
  • SAP NetWeaver Enterprise Portal, versiones: 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Enterprise Portal, versiones: 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Web Dispatcher, versiones: 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87;
  • SAP Work Manager, versiones: 6.4, 6.5 y 6.6;
  • SAPCAR, versión 7.22;
  • SAP-JEE, versión 6.40;
  • SAP-JEECOR, versiones: 6.40, 7.00 y 7.01;
  • SAPS/4HANA (Hoja de datos de proveedores y búsqueda de empresas para socios comerciales, proveedores y clientes), versiones: 104, 105 y 106;
  • SERVERCORE, versiones: 7.10, 7.11, 7.20, 7.30 y 7.31;
  • Simple Diagnostics Agent;
  • Simple Diagnostics Agent, versiones: =>1.0 a < 1.58.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 12 notas de seguridad y 4 actualizaciones de notas anteriores, siendo 4 de severidad crítica, 1 de severidad alta, 10 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidad de ejecución remota de código;
  • 4 vulnerabilidad de Cross-Site Scripting (XSS);
  • 1 vulnerabilidad de denegación de servicio (DOS);
  • 1 vulnerabilidad de salto de directorio (Directory Traversal);
  • 4 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de falta de comprobación de autenticación;
  • 2 vulnerabilidades de falta de autorización;
  • 1 vulnerabilidad de contrabando de solicitudes (request smuggling) y concatenación de solicitudes (request concatenation).

Las notas de seguridad más destacadas se refieren a:

  • Las solicitudes no autorizadas y la concatenación de solicitudes en SAP NetWeaver, SAP Content Server y SAP Web Dispatcher, podrían permitir a un atacante no autentificado añadir datos arbitrarios a la solicitud de la víctima. De este modo, el atacante puede ejecutar funciones suplantando a la víctima o envenenar las cachés web intermediarias, comprometiendo la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2022-22536 para esta vulnerabilidad.
  • Las características JNDI utilizadas en la configuración, los mensajes de registro y los parámetros, en el componente Apache Log4j 2, no protegen contra LDAP controlado por un atacante y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro podría ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está habilitada. Se han asignado los identificadores CVE-2021-44228 y CVE-2021-44228 para esta vulnerabilidad.
  • La falta de comprobación de autenticación en la ejecución centrada en SAP (Agente de Diagnóstico Simple 1.0), para las funcionalidades a las que se puede acceder a través de localhost en el puerto http 3005, podría permitir a un atacante acceder a funcionalidades administrativas o privilegiadas y leer, modificar o eliminar información y configuraciones sensibles. Se ha asignado el identificador CVE-2022-24396 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-26101, CVE-2022-22542, CVE-2022-24395, CVE-2022-24397, CVE-2022-26104, CVE-2022-26102, CVE-2022-24399, CVE-2022-22547, CVE-2022-24398, CVE-2022-26100 y CVE-2022-26103.

Encuesta valoración

Dirty Pipe: vulnerabilidad de escalada de privilegios en el Kernel de Linux

Fecha de publicación: 
09/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Esta vulnerabilidad afecta al Kernel de Linux, versión 5.8 y posteriores, lo que incluye todas las distribuciones Major de Linux y también los dispositivos Android.

RedHat ha desarrollado un script de detección para determinar si un sistema es actualmente vulnerable a este fallo.

Descripción: 

El investigador de seguridad Max Kellermann (CM4all) ha notificado una vulnerabilidad, denominada Dirty Pipe, que podría permitir a un usuario sin privilegios inyectar y sobrescribir datos en archivos de solo lectura, incluidos los procesos SUID que se ejecutan como root.

Solución: 

Actualizar el Kernel de Linux a las versiones 5.16.11, 5.15.25 y 5.10.102.

Las principales distribuciones de Linux han comenzado a publicar sus parches:

Detalle: 

Se ha detectado una vulnerabilidad en la forma en que el miembro flags de la nueva estructura de búfer de tuberías (pipes) carece de la inicialización adecuada en las funciones copy_page_to_iter_pipe y push_pipe en el Kernel de Linux y, por tanto, podría contener valores obsoletos. Un usuario local sin privilegios podría utilizar este fallo para escribir en las páginas de la caché de páginas respaldadas por archivos de solo lectura y, de este modo, escalar sus privilegios en el sistema. Se demostró al crear nuevas pipe buffers con la flag PIPE_BUF_FLAG_CAN_MERGE establecida incorrectamente debido a la falta de una inicialización adecuada. Se ha asignado el identificador CVE-2022-0847 para esta vulnerabilidad.

Los investigadores de seguridad han publicado múltiples PoC del exploit para obtener privilegios de root mediante el parcheado de /usr/bin/su o la sobreescritura de /etc/passwd, lo que conduciría en última instancia a obtener privilegios de root. Esta vulnerabilidad solo es explotable con acceso local al dispositivo.

Encuesta valoración