Inicio / Content / Boletín de INCIBE-CERT del 13-04-2020

Boletín de INCIBE-CERT del 13-04-2020

Múltiples vulnerabilidades en productos de Palo Alto Networks

Fecha de publicación: 
13/04/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Secdo, todas las versiones para Windows;
  • GlobalProtect Agent, versiones anteriores a la 5.0.8 y la 5.1.1 para Linux ARM;
  • PAN-OS, versiones:
    • anteriores a la 8.1.13 y la 9.0.7;
    • anteriores a la 9.0.7 en las series PA-7000 con LFC.
  • Traps, versiones anteriores a la 5.0.8 y la 6.1.4 para Windows.
Descripción: 

Se han publicado múltiples vulnerabilidades en productos de Palo Alto Networks, que podrían permitir a un atacante escalar privilegios, acceder como root, ejecutar código como root, sobrescribir archivos del sistema o la denegación del servicio.

Solución: 
  • Secdo carece de soporte. Los problemas pueden ser completamente mitigados:
    • asegurando que los usuarios sin privilegios no tengan acceso a "crear carpeta" en la raíz del sistema de archivos como C:\ o en una carpeta llamada C:\Common,
    • cambiando el permiso en la carpeta C:\N-Programdata\N-Secdo\N-Logs para no permitir el acceso a usuarios sin privilegios.
  • Actualizar a GlobalProtect Agent 5.0.8, 5.1.1 o versiones posteriores.
  • Actualizar a PAN-OS 8.1.13, 9.0.7, 9.1.2 o versiones posteriores.
  • Actualizar a Traps 5.0.8, 6.1.4 o versiones posteriores.
Detalle: 
  • Secdo intenta ejecutar un script en una ruta de código, esto podría permitir a un usuario local, autentificado, acceder a la raíz del disco del sistema operativo (C:\), mediante 'crear carpetas o añadir datos', para obtener privilegios del sistema si la ruta no existe o si se permite la escritura en ella. Se ha asignado el identificador CVE-2020-1984 para esta vulnerabilidad.
  • En Secdo, los permisos por defecto incorrectos en la carpeta C:\Programdata\Secdo\N-Logs, podría permitir a los usuarios locales, autentificados, sobrescribir los archivos de sistema y obtener la escalada de privilegios. Se ha asignado el identificador CVE-2020-1985 para esta vulnerabilidad.
  • La asignación inadecuada de privilegios cuando se escriben archivos específicos de la aplicación en el Agente GlobalProtect, podría permitir a un usuario local, autentificado, obtener privilegios de root en el sistema. Se ha asignado el identificador CVE-2020-1989 para esta vulnerabilidad.
  • Una vulnerabilidad de desbordamiento de búfer basado en pila en el componente de servidor de gestión de PAN-OS, podría permitir a un usuario autentificado subir una configuración de PAN-OS corrupta y ejecutar código con privilegios de root. Se ha asignado el identificador CVE-2020-1990 para esta vulnerabilidad.
  • Una vulnerabilidad de archivo temporal inseguro en Traps, podría permitir a un usuario local, autentificado, escalar privilegios o sobrescribir archivos de sistema. Se ha asignado el identificador CVE-2020-1991 para esta vulnerabilidad
  • Una vulnerabilidad de cadena de formato en el demonio Varrcvr de PAN-OS, en dispositivos de la serie PA-7000 con una tarjeta de reenvío de registros (LFC, Log Forwarding Card), podría permitir a los atacantes remotos bloquear el demonio creando una condición de negación de servicio o ejecutar potencialmente código con privilegios de root. Se ha asignado el identificador CVE-2020-1992 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad de escalada de privilegios en IBM WebSphere Application Server

Fecha de publicación: 
13/04/2020
Importancia: 
4 - Alta
Recursos afectados: 

IBM WebSphere Application Server, versiones 7.0, 8.0, 8.5 y 9.0.

Descripción: 

IBM WebSphere Application Server contiene una vulnerabilidad, de severidad alta, de tipo escalada de privilegios.

Solución: 

Para WebSphere Application Server traditional y WebSphere Application Server Hypervisor Edition, aplicar las siguientes medidas, según la versión afectada:

  • Desde la 9.0.0.0, hasta la 9.0.5.3, existen dos opciones:
    • actualizar según los requisitos del interim fix y luego aplicar el Interim Fix PH23853,
    • aplicar el Fix Pack 9.0.5.4 o posterior (disponible en el segundo cuatrimestre de 2020).
  • Desde la 8.5.0.0, hasta la 8.5.5.17, existen dos opciones:
    • actualizar según los requisitos del interim fix y luego aplicar el Interim Fix PH23853,
    • aplicar el Fix Pack 8.5.5.18 o posterior (disponible en el tercer cuatrimestre de 2020).
  • Desde la 8.0.0.0, hasta la 8.0.0.15: actualizar a la 8.0.0.15 y luego aplicar el Interim Fix PH23853.
  • Desde la 7.0.0.0, hasta la 7.0.0.45: actualizar a la 7.0.0.45 y luego aplicar el Interim Fix PH23853.
Detalle: 

IBM WebSphere Application Server es vulnerable a una escalada de privilegios cuando se utiliza la autenticación basada en token en una solicitud de administrador a través del conector SOAP (Simple Object Access Protocol). Se ha asignado el identificador CVE-2020-4362 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos Dell EMC

Fecha de publicación: 
13/04/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Dell EMC Data Protection Advisor, versiones 6.4, 6.5 y 18.1;
  • Dell EMC Isilon OneFS, versión 8.2.2 y anteriores.
Descripción: 

Se han publicado dos vulnerabilidades en productos Dell EMC del tipo inyección de comandos en el sistema operativo y configuración por defecto insegura que podrían permitir a un atacante el acceso como administrador o comprometer el sistema.

Solución: 
  • Actualizar a Dell EMC Data Protection Advisor, versiones 18.2, 19.1 o 19.2;
  • Para Dell EMC Isilon OneFS, versión 8.2.2 y anteriores:
    • deshabilitar NFS,
    • mover el directorio admin home,
    • habilitar la autenticación Kerberos,
    • quitar los privilegios SSH (si sólo se utiliza la interfaz de administración web OneFS).
Detalle: 
  • La vulnerabilidad de inyección de comandos del sistema operativo podría permitir a un atacante remoto, autenticado, ejecutar comandos arbitrarios en el sistema afectado. Se ha reservado el identificador CVE-2020-5352 para esta vulnerabilidad.
  • La configuración por defecto de Dell Isilon OneFS, para el Sistema de Archivos en Red (NFS), podría permitir a un atacante acceder a un directorio de inicio 'admin' y,  mediante un identificador único (UID) falso a través de NFS, podría reescribir archivos confidenciales con el fin de obtener acceso administrativo al sistema. Se ha reservado el identificador CVE-2020-5353 para esta vulnerabilidad.

Encuesta valoración

Acceso a información confidencial en vCenter Server de VMware

Fecha de publicación: 
13/04/2020
Importancia: 
5 - Crítica
Recursos afectados: 

VMware vCenter Server, versión 6.7, ejecutándose en dispositivos virtuales o Windows.

Descripción: 

VMware ha detectado una vulnerabilidad, de severidad crítica, que podría permitir a un atacante remoto revelar información confidencial.

Solución: 

Aplicar el parche de seguridad 6.7u3f.

Detalle: 

En determinadas condiciones, vmdir (VMware Directory Service), que se encuentra incluido en VMware vCenter Server, como parte embebida o externa de un Platform Service Controller (PSC), no implementa correctamente los controles de acceso, pudiendo permitir a un atacante remoto revelar información confidencial. Se ha asignado el identificador CVE-2020-3952 para esta vulnerabilidad.

Encuesta valoración