Inicio / Content / Boletín de INCIBE-CERT del 14-04-2021

Boletín de INCIBE-CERT del 14-04-2021

NAME:WRECK, múltiples vulnerabilidades en DNS

Fecha de publicación: 
14/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Implementaciones DNS en las pilas TCP/IP: FreeBSD, Nucleus NET, IPnet y NetX.

Descripción: 

Forescout Research Labs, en colaboración con JSOF Research, ha  revelado NAME:WRECK, un conjunto de nueve vulnerabilidades que afectan a cuatro populares pilas TCP/IP (FreeBSD, Nucleus NET, IPnet y NetX). Estas vulnerabilidades están relacionadas con las implementaciones del Sistema de Nombres de Dominio (DNS), pudiendo provocar una denegación de servicio (DoS) o una ejecución remota de código (RCE), lo que permitiría a los atacantes desconectar los dispositivos objetivo o tomar el control de los mismos.

Solución: 
  • La protección completa contra NAME:WRECK requiere parchear los dispositivos que ejecutan las versiones vulnerables de las pilas IP. FreeBSD, Nucleus NET y NetX han sido parcheados recientemente, y los proveedores de dispositivos que utilizan este software deberían proporcionar sus propias actualizaciones a los clientes. Es posible que estas actualizaciones en los diferentes clientes se alarguen en el tiempo y no se publiquen de manera inmediata, debido a la complejidad de las mismas y a las diferentes casuísticas. Se recomienda a cualquiera que utilice un producto que incorpore servicios para la resolución de DNS o DHCP revise las actualizaciones de su fabricante que se puedan producir a lo largo del tiempo y que permitirían corregir estas vulnerabilidades.

Sin embargo, no siempre es posible parchear los dispositivos, y el esfuerzo requerido cambia drásticamente dependiendo de si el dispositivo es un servidor de TI estándar o un dispositivo IoT. Teniendo en cuenta estos desafíos, se recomienda la siguiente estrategia de mitigación:

  • Realizar un inventario de los dispositivos que ejecutan las pilas vulnerables. Forescout Research Labs ha publicado un script de código abierto que utiliza la huella digital activa para detectar los dispositivos que ejecutan las pilas afectadas. El script se actualiza constantemente con nuevas firmas para seguir el último desarrollo de su investigación. Los clientes de Forescout que utilizan eyeSight también pueden identificar automáticamente los dispositivos que utilizan FreeBSD, Nucleus RTOS, ThreadX o VxWorks.
  • Aplicar controles de segmentación y un bastionado de red adecuado para mitigar el riesgo de los dispositivos vulnerables. Restrinja las vías de comunicación externas y aísle o contenga los dispositivos vulnerables en zonas como control de mitigación si no pueden ser parcheados o hasta que puedan serlo.
  • Supervisar los parches progresivos publicados por los proveedores de dispositivos afectados y diseñar un plan de recuperación para su inventario de activos vulnerables, equilibrando el riesgo empresarial y los requisitos de continuidad del negocio.
  • Configurar los dispositivos para que dependan de los servidores DNS internos en la medida de lo posible y supervisar detalladamente el tráfico DNS externo, ya que la explotación requiere que un servidor DNS malicioso responda con paquetes maliciosos.
  • Supervisar todo el tráfico de red en busca de paquetes maliciosos que intenten explotar vulnerabilidades conocidas o posibles 0-days que afecten a los clientes DNS, mDNS y DHCP. El tráfico anómalo y malformado debería bloquearse, o al menos debería alertarse de su presencia a los operadores de la red. Para explotar las vulnerabilidades de NAME:WRECK, un atacante debería adoptar un procedimiento similar para cualquier pila TCP/IP. Esto significa que la misma técnica de detección utilizada para identificar la explotación de NAME:WRECK también funcionará para detectar la explotación en otras pilas TCP/IP y productos que aún no han sido analizadas. Además, los clientes de Forescout eyeInspect que activaron el script SD de detección de amenazas entregado como parte de AMNESIA:33 pueden detectar la explotación de NAME:WRECK.
Detalle: 
  • Un error de límite al analizar los datos de la opción 119 en los paquetes DHCP en dhclient(8), podría permitir a un atacante remoto, en la red local, enviar datos especialmente diseñados al cliente DHCP, desencadenar un desbordamiento de búfer basado en la pila y ejecutar código arbitrario en el sistema de destino. Se ha asignado el identificador CVE-2020-7461 para esta vulnerabilidad.
  • El desbordamiento basado en la pila en la función de descompresión de mensajes del cliente DNS, podría permitir a un atacante la ejecución remota de código (RCE). Se ha asignado el identificador CVE-2016-20009 para esta vulnerabilidad, que es la de mayor severidad con un CVSS de 9.8.
  • La funcionalidad de análisis de etiquetas de nombres de dominio DNS no valida correctamente los nombres en las respuestas DNS. El análisis sintáctico de respuestas malformadas podría dar lugar a una escritura más allá del final de una estructura asignada. Un atacante con una posición privilegiada en la red podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual o provocar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-15795 para esta vulnerabilidad.
  • La funcionalidad de descompresión de registros de nombres de dominio DNS no valida correctamente los valores de desplazamiento del puntero. Un atacante podría elaborar un paquete de respuesta DNS especialmente diseñado que permitiría escribir datos arbitrarios en partes sensibles de la memoria de un dispositivo, donde posteriormente inyectaría el código. Se ha asignado el identificador CVE-2020-27009 para esta vulnerabilidad.
  • La funcionalidad de análisis de etiquetas de nombres de dominio DNS no valida correctamente el nombre en las respuestas DNS. El análisis de respuestas malformadas podría dar lugar a una lectura más allá del final de una estructura asignada. Un atacante con una posición privilegiada en la red podría aprovechar esta vulnerabilidad para provocar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-27736 para esta vulnerabilidad.
  • La funcionalidad de análisis de la respuesta DNS no valida correctamente varias longitudes y recuentos de los registros. El análisis sintáctico de respuestas malformadas podría dar lugar a una lectura más allá del final de una estructura asignada. Un atacante con una posición privilegiada en la red podría aprovechar esta vulnerabilidad para provocar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-27737 para esta vulnerabilidad.
  • La funcionalidad de descompresión de registros de nombres de dominio DNS no valida correctamente los valores de desplazamiento del puntero. El análisis sintáctico de respuestas malformadas podría dar lugar a un acceso de lectura más allá del final de una estructura asignada. Un atacante con una posición privilegiada en la red podría aprovechar esta vulnerabilidad para causar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-27738 para esta vulnerabilidad.
  • El cliente DNS no aleatoriza correctamente el ID de transacción DNS (TXID) y los números de puerto UDP, lo que podría permitir a un atacante realizar ataques de envenenamiento de caché DNS/suplantación de identidad. Se ha asignado el identificador CVE-2021-25677 para esta vulnerabilidad.
  • En el componente DNS resolver, las funciones _nx_dns_name_string_unencode y _nx_dns_resource_name_real_size_calculated no comprueban que el puntero de compresión no sea igual al mismo desplazamiento que se está analizando actualmente, lo que podría llevar a un bucle infinito. En la función _nx_dns_resource_name_real_size_calculate el puntero también puede apuntar hacia adelante y no hay una comprobación de fuera de límites en el búfer del paquete. Aún no se ha asignado ningún identificador para esta vulnerabilidad.

Los detalles de estas vulnerabilidades se describen en el informe técnico y serán presentados en Black Hat Asia 2021.

Encuesta valoración

Actualización de seguridad de SAP de abril de 2021

Fecha de publicación: 
14/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business Client, versión 6.5;
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Master Data Management, versiones 710 y 710.750;
  • SAP Solution Manager, versión 7.20;
  • SAP NetWeaver AS for ABAP, versiones  2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 y 2011_1_752, 2020, 731, 740, 750 y 7.30;
  • SAP S4 HANA (SAP Landscape Transformation) , versiones 101, 102, 103, 104 y 105;
  • SAP Setup, versión 9.0;
  • SAP NetWeaver AS for JAVA (Telnet Commands):
    • ENGINEAPI, versiones 7.30, 7.31, 7.40 y 7.50;
    • ESP_FRAMEWORK, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
    • SERVERCORE, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
    • J2EE-FRMW, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS for JAVA (Applications based on HTMLB for Java):
    • EP-BASIS, versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
    • FRAMEWORK-EXT , versiones 7.30, 7.31, 7.40 y 7.50;
    • FRAMEWORK, versiones 7.10 y 7.11;
  • SAP NetWeaver AS for JAVA (Customer Usage Provisioning Servlet), versiones 7.31, 7.40 y 7.50;
  • SAP Process Integration, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Manufacturing Execution, versiones 15.1, 15.2, 15.3 y 15.4;
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 731, 7.40 y 7.50;
  • SAP Focused RUN, versiones 200 y 300;
  • SAP NetWeaver AS for JAVA (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Fiori Apps 2.0 for Travel Management in SAP ERP, versión 608.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 5 de severidad alta y 11 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de XSS (Cross Site Scripting).
  • 1 vulnerabilidad de denegación de servicio (DoS).
  • 5 vulnerabilidades de revelación de información.
  • 5 vulnerabilidades de falta de comprobación de autenticación.
  • 1 vulnerabilidad de ejecución remota de código.
  • 5 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • SAP Commerce. Se corrige una vulnerabilidad de ejecución remota de código que podría permitir a un atacante no autorizado explotar las capacidades de scripting del motor de reglas para inyectar código malicioso en las reglas de origen, y permitir así la ejecución remota de código. Se ha asignado el identificador CVE-2021-27602 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-21481, CVE-2021-21482, CVE-2021-21483, CVE-2020-26832, CVE-2021-27608, CVE-2021-21485, CVE-2021-27598, CVE-2021-27603, CVE-2021-27599, CVE-2021-27604, CVE-2021-27600, CVE-2021-27601, CVE-2021-21491, CVE-2021-27609, CVE-2021-21492 y CVE-2021-27605.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de abril de 2021

Fecha de publicación: 
14/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Azure AD Web Sign-in,
  • Azure DevOps,
  • Azure Sphere,
  • Microsoft Edge (basado en Chromium),
  • Microsoft Exchange Server,
  • Microsoft Graphics Component,
  • Microsoft Internet Messaging API,
  • Microsoft NTFS,
  • Microsoft Office Excel,
  • Microsoft Office Outlook,
  • Microsoft Office SharePoint,
  • Microsoft Office Word,
  • Microsoft Windows Codecs Library,
  • Microsoft Windows Speech,
  • Open Source Software,
  • Role: DNS Server,
  • Role: Hyper-V,
  • Visual Studio,
  • Visual Studio Code,
  • Visual Studio Code - GitHub Pull Requests e Issues Extension,
  • Visual Studio Code - Kubernetes Tools,
  • Visual Studio Code - Maven para Java Extension,
  • Windows Application Compatibility Cache,
  • Windows AppX Deployment Extensions,
  • Windows Console Driver,
  • Windows Diagnostic Hub,
  • Windows Early Launch Antimalware Driver,
  • Windows ELAM,
  • Windows Event Tracing,
  • Windows Installer,
  • Windows Kernel,
  • Windows Media Player,
  • Windows Network File System,
  • Windows Overlay Filter,
  • Windows Portmapping,
  • Windows Registry,
  • Windows Remote Procedure Call Runtime,
  • Windows Resource Manager,
  • Windows Secure Kernel Mode,
  • Windows Services and Controller App,
  • Windows SMB Server,
  • Windows TCP/IP,
  • Windows Win32K,
  • Windows WLAN Auto Config Service.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de abril, consta de 117 vulnerabilidades, clasificadas 19 como críticas, 89 como importantes y 9 sin severidad asignada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • Denegación de servicio.
  • Escalada de privilegios.
  • Divulgación de información.
  • Ejecución remota de código.
  • Omisión de la función de seguridad.
  • Suplantación de identidad (spoofing).

Microsoft también ha corregido hoy 5 vulnerabilidades 0day con identificadores CVE-2021-27091, CVE-2021-28312, CVE-2021-28437, CVE-2021-28458 y CVE-2021-28310 (esta última estaba siendo explotada activamente).

IMPORTANTE: la NSA ha notificado 4 vulnerabilidades críticas de ejecución remota de código que afectan a Microsoft Exchange Server (2013, 2016 y 2019) y que han sido solucionadas en este boletín (2013 CU23; 2016 CU19 y CU20, y 2019 CU8 y CU9). Sus identificadores son CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 y CVE-2021-28483.

Encuesta valoración