Inicio / Content / Boletín de INCIBE-CERT del 12-08-2020

Boletín de INCIBE-CERT del 12-08-2020

Múltiples vulnerabilidades en Intel Server Boards, Server Systems y Compute Modules

Fecha de publicación: 
12/08/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Intel Server System R1000WT, R2000WT, R1000SP, LSVRP, LR1304SP, R1000WF y R2000WF,
  • Intel Server Boards S2600WT, S2600CW, S2600KP, S2600TP, S1200SP, S2600WF, S2600ST y S2600BP,
  • Intel Compute Module HNS2600KP, HNS2600TP y HNS2600BP.
Descripción: 

Intel ha informado de múltiples vulnerabilidades en sistemas Intel Server System, Server Boards y Compute Module que podrían permitir a un atacante realizar una escalada de privilegios o una denegación de servicio.

Solución: 

Intel ha publicado una nueva versión de firmware para los productos afectados. Puede consultar la lista detallada en su página web.

Detalle: 

Se han encontrado un total de 22 vulnerabilidades siendo 1 de ellas de importancia crítica y 10 de importancia alta.

La vulnerabilidad más crítica se refiere a un fallo en los sistema de autenticación en algunas placas Intel Server Boards, Server Systems y Compute Modules anteriores a la versión 1.59, la cual puede permitir a un atacante no autenticado llevar a cabo una escalada de privilegios a través de un acceso adyacente. Se ha reservado el identificador CVE-2020-8708 para esta vulnerabilidad.

Encuesta valoración

Boletín de seguridad de Microsoft de agosto de 2020

Fecha de publicación: 
12/08/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Microsoft Windows
  • Microsoft Edge (EdgeHTML-based)
  • Microsoft Edge (Chromium-based)
  • Microsoft ChakraCore
  • Internet Explorer
  • Microsoft Scripting Engine
  • SQL Server
  • Microsoft JET Database Engine
  • .NET Framework
  • ASP.NET Core
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Microsoft Windows Codecs Library
  • Microsoft Dynamics
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de agosto, consta de 124 vulnerabilidades, 14 clasificadas como críticas y 103 como importantes.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • escalada de privilegios,
  • denegación de servicio,
  • ejecución remota de código,
  • divulgación de información,
  • suplantación de identidad (spoofing).

IMPORTANTE: Microsoft ha informado de que dos vulnerabilidades estarían siendo explotadas por atacantes de manera activa, en concreto una vulnerabilidad de ejecución remota de código que afecta a Internet Explorer 11, a la que se ha asignado el identificador CVE-2020-1380, la otra vulnerabilidad se refiere a una suplantación de identidad que afecta a varios productos de Windows y a la que se ha asignado el identificador CVE-2020-1464.

[Actualización 16/09/2020] Se han hecho públicos los detalles de explotación de la vulnerabilidad identificada con CVE-2020-1472, conocida como Zerologon y que afecta de forma directa a los controladores de dominio (DC) del directorio activo (AD). Se debe concretamente a un error en la implementación criptográfica del protocolo Netlogon, que posibilita el establecimiento de una nueva contraseña en el DC, lo que permitiría a un atacante utilizar esa nueva contraseña para controlar el DC y usurpar las credenciales de un usuario administrador del dominio. Esta vulnerabilidad, de severidad crítica, afecta a varias versiones de Windows Server y, aunque ya fue corregida en agosto de 2020, se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad existentes, en caso de no haberlo hecho aún Puedes realizar una comprobación del nivel de seguridad de Active Directory con la siguiente lista de verificación de la evaluación de seguridad del directorio activo.

[Actualización 11/02/2021] En relación con la vulnerabilidad identificada con CVE-2020-1472, conocida como Zerologon y que afecta de forma directa a los controladores de dominio (DC) del directorio activo (AD), los DC se pondrán en modo de aplicación. Esto requerirá que todos los dispositivos Windows y no Windows utilicen la Llamada a Procedimiento Remoto (RPC, Remote Procedure Call) segura con el canal seguro Netlogon o que permitan explícitamente la cuenta añadiendo una excepción para cualquier dispositivo no compatible.

Encuesta valoración

Actualización de seguridad de SAP de agosto de 2020

Fecha de publicación: 
12/08/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP NetWeaver AS JAVA (LM Configuration Wizard), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
  •  SAP Business Objects Business Intelligence Platform, versiones 4.2 y 4.3;
  • SAP Banking Services (Generic Market Data), versiones 400, 450 y 500;
  • SAP NetWeaver (ABAP Server) y ABAP Platform, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753 y 755;
  • SAP NetWeaver AS JAVA (ENGINEAPI), versiones 7.10 y 7.10;
  • SAP NetWeaver AS JAVA (WSRM), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS JAVA (SERVERCORE), versiones 7.10, 7.10 y 7.11;
  • SAP NetWeaver AS JAVA (J2EE-FRMW), versiones J2EE-FRMW 7.10 y 7.11;
  • SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP Adaptive Server Enterprise, versión 16.0;
  • SAP Commerce, versiones 6.7, 1808, 1811, 1905 y 2005;
  • SAP Data Intelligence, versión 3;
  • SAPUI5 (UISAPUI5_JAVA), versión 7.50;
  • SAPUI5 (SAP_UI), versiones 750, 751, 752, 753, 754 y 755;
  • SAPUI5 (UI_700), versión 200;
  • SAP ERP (HCM Travel Management), versiones 600, 602, 603, 604, 605, 606, 607 y 608;
  • SAP Business Objects Business Intelligence Platform (Central Management Console), versiones 4.2 y 4.3;
  • SAP S/4 HANA (Fiori UI for General Ledger Accounting), versiones 103 y 104;
  • SAP NetWeaver (ABAP Server) y ABAP Platform, versiones 740, 750, 751, 752, 753, 754 y 755;
  • SAP NetWeaver (ABAP Server) y ABAP Platform, versiones 702, 730, 731, 740 y 750.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 15 notas de seguridad y 1 actualización, siendo 2 de ellas de severidad crítica, 6 altas y 8 medias.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 1 vulnerabilidad de inyección de código,
  • 5 vulnerabilidades de Cross-Site Scripting,
  • 4 vulnerabilidades de divulgación de información,
  • 3 vulnerabilidades de falta de comprobación de autorización,
  • 4 vulnerabilidades de falta de comprobación de autenticación,
  • 1 vulnerabilidad de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • La falta de comprobación de autenticación en SAP NetWeaver AS JAVA (LM Configuration Wizard) podría permitir a un atacante, sin autenticación previa, ejecutar tareas de configuración para realizar acciones críticas contra el sistema SAP Java, incluyendo la capacidad de crear un usuario administrativo, y por lo tanto comprometiendo la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2020-6287 para esta vulnerabilidad.
  • Una vulnerabilidad de tipo Cross-Site Scripting (XSS) que afecta a SAP Knowledge Management, un componente de SAP NetWeaver, específicamente de SAP Enterprise Portal, y que puede suponer un compromiso total de la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2020-6284 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-6294, CVE-2020-6298, CVE-2020-6296, CVE-2020-6309, CVE-2020-6293, CVE-2020-6295, CVE-2020-6297, CVE-2020-6301, CVE-2020-6300, CVE-2020-6273, CVE-2020-6299 y CVE-2020-6310.

Encuesta valoración