Inicio / Content / Boletín de INCIBE-CERT del 10-02-2021

Boletín de INCIBE-CERT del 10-02-2021

Ejecución remota de código en Operations Bridge Manager de Micro Focus

Fecha de publicación: 
10/02/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Micro Focus Operations Bridge Manager (OBM), versiones:

  • 2020.10 (sólo si la configuración por defecto ha sido modificada);
  • 2020.05;
  • 2019.11;
  • 2019.05;
  • 2018.11;
  • 2018.05;
  • 10.6x;
  • 10.1x;
  • versiones más antiguas.
Descripción: 

Se ha reportado una vulnerabilidad de severidad crítica que podría permitir a una atacante ejecutar código de forma remota.

Solución: 

Seguir las indicaciones del fabricante en su página web.

Detalle: 

Una vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en un servidor OBM. Se ha asignado el identificador CVE-2021-22504 para esta vulnerabilidad.

Encuesta valoración

Actualización de seguridad de SAP de febrero de 2021

Fecha de publicación: 
10/02/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business Client, versión 6.5;
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP Business Warehouse, versiones 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 782;
  • SAP NetWeaver AS ABAP (SAP Landscape Transformation - DMIS), versiones 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 y 2011_1_752, 2020;
  • SAP S4 HANA (SAP Landscape Transformation), versiones 101, 102, 103, 104 y 105;
  • SAP NetWeaver AS ABAP, versiones 740, 750, 751, 752, 753, 754 y 755;
  • SAP Software Provisioning Manager 1.0 (SAP NetWeaver Master Data Management Server 7.1), versión 1.0;
  • SAP NetWeaver Process Integration (Java Proxy Runtime), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
  • SAP Business Objects Business Intelligence Platform (CMC and BI Launchpad), versiones 410, 420 y 430;
  • SAP UI5, versiones 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4 y 1.86.1;
  • SAP Web Dynpro ABAP;
  • SAP UI, versiones 7.5, 7.51, 7.52, 7.53 y 7.54;
  •  SAP UI 700, versión 2.0;
  • SAP HANA Database, versiones 1.0 y 2.0;
  • SAP NetWeaver Master Data Management Server, versiones 710 y 710.750.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Para las vulnerabilidades del tipo tabnabbing inverso, es posible aplicar las siguientes medidas de mitigación:

  • En HTML:
    • Añadir el atributo rel en los enlaces HTML: <a href="https://ourpartner.com" target="_blank" rel="noopener noreferrer">texto</a>.
    • Añadir directamente en la cabecera HTTP: Referrer-Policy: noreferrer.
    • Además, varios de los principales proveedores de navegadores han empezado a proporcionar un comportamiento implícito de "rel=noopener" en caso de utilizar target="_blank".
  • En las versiones de JavaScript, mediante la siguiente función:

function openPopup(url, name, options){
  // Abrir la ventana emergente y establecer la instrucción de política de apertura y referencia.
  var newWin = window.open(null, name, 'noopener,noreferrer,' + options);
  // Restablecer el enlace del abridor.
  newWin.opener = null;
  // Ahora carga la url correcta.
  newWin.location = url; }

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad y 6 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 2 altas y 8 medias.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 1 vulnerabilidad de secuestro del click,
  • 1 vulnerabilidad de Cross Site Scripting,
  • 1 vulnerabilidad de denegación de servicio,
  • 3 vulnerabilidades de falta de comprobación de autorización,
  • 1 vulnerabilidad de ejecución remota de código,
  • 1 vulnerabilidad de SQL injection,
  • 6 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • Un atacante autenticado, con privilegios para editar las reglas drools en SAP Commerce Cloud, podría ser capaz de inyectar código malicioso en ellas. Esto permitiría la ejecución remota de código cuando las reglas son ejecutadas, pudiendo comprometer el host subyacente y afectar a la confidencialidad, integridad y disponibilidad de la aplicación. Se ha asignado el identificador  CVE-2021-21477 para esta vulnerabilidad.
  • Un fallo de tipo tabnabbing inverso podría permitir que un documento enlazado, que se abra en una nueva pestaña o ventana del navegador, redirija o reemplace la página original por una página de phishing sin ninguna interacción por parte del usuario.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de febrero de 2021

Fecha de publicación: 
10/02/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • .NET Core;
  • .NET Framework;
  • Azure IoT;
  • Developer Tools;
  • Microsoft Azure Kubernetes Service;
  • Microsoft Dynamics;
  • Microsoft Edge para Android;
  • Microsoft Exchange Server;
  • Microsoft Graphics Component;
  • Microsoft Office Excel;
  • Microsoft Office SharePoint;
  • Microsoft Windows Codecs Library;
  • Role: DNS Server;
  • Role: Hyper-V;
  • Role: Windows Fax Service;
  • Skype para Business;
  • SysInternals;
  • System Center;
  • Visual Studio;
  • Windows Address Book;
  • Windows Backup Engine;
  • Windows Console Driver;
  • Windows Defender;
  • Windows DirectX;
  • Windows Event Tracing;
  • Windows Installer;
  • Windows Kernel;
  • Windows Mobile Device Management;
  • Windows Network File System;
  • Windows PFX Encryption;
  • Windows PKU2U;
  • Windows PowerShell;
  • Windows Print Spooler Components;
  • Windows Remote Procedure Call;
  • Windows TCP/IP;
  • Windows Trust Verification API.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de febrero, consta de 65 vulnerabilidades, 11 clasificadas como críticas, 45 como importantes, 2 moderadas y 7 sin severidad asignada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • omisión de características de seguridad,
  • suplantación de identidad (spoofing).

IMPORTANTE

  • Microsoft ha publicado un aviso de seguridad para solucionar una vulnerabilidad, con severidad alta, de escalada de privilegios en Microsoft Win32k, con identificador CVE-2021-1732. Un atacante local podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado. Esta vulnerabilidad se está explotando actualmente.
  • Microsoft ha publicado un post alertando sobre 3 vulnerabilidades existentes en la implementación de TCP/IP de Windows que podrían ser explotadas, de manera remota, por atacantes no autenticados. Las 2 primeras, ambas con severidad crítica, permitirían la ejecución de código remoto (CVE-2021-24074 y CVE-2021-24094), y la tercera, con severidad alta, permitiría llevar a cabo ataques de denegación de servicio (CVE-2021-24086).

Encuesta valoración