Instituto Nacional de ciberseguridad. Sección Incibe

Cuatro nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en productos Fortinet
  • Actualización de seguridad de SAP de marzo de 2024
  • Múltiples vulnerabilidades en router Movistar 4G
  • Actualizaciones de seguridad de Microsoft de marzo de 2024

Múltiples vulnerabilidades en productos Fortinet

Fecha13/03/2024
Importancia5 - Crítica
Recursos Afectados
  • FortiOS, versiones:
    • desde 7.4.0 hasta 7.4.1;
    • desde 7.2.0 hasta 7.2.5;
    • desde 7.0.0 hasta 7.0.12;
    • desde 6.4.0 hasta 6.4.14;
    • desde 6.2.0 hasta 6.2.15.
  • FortiProxy, versiones:
    • 7.4.0;
    • desde 7.2.0 hasta 7.2.6;
    • desde 7.0.0 hasta 7.0.12;
    • desde 2.0.0 hasta 2.0.13.
  • FortiClientEMS, versiones:
    • desde 7.2.0 hasta 7.2.2;
    • desde 7.0.1 hasta 7.0.10.
Descripción

Los investigadores, Gwendal Guégniaud y Thiago Santana, pertenecientes a equipos de investigación/seguridad de Fortinet, han reportado 3 vulnerabilidades, 2 críticas y 1 alta, que afectan a varios productos del fabricante. La explotación de estas vulnerabilidades podría permitir la ejecución de código o comandos no autorizados.

Solución

Actualizar los productos afectados a las siguientes versiones o posteriores:

  • FortiOS:
    • 7.4.2;
    • 7.2.6;
    • 7.0.13;
    • 6.4.15;
    • 6.2.16.
  • FortiProxy:
    • 7.4.1;
    • 7.2.7;
    • 7.0.13;
    • 2.0.14.
  • FortiSASE 23.3.b.
  • FortiClientEMS:
    • 7.2.3;
    • 7.0.11.
Detalle
  • Una vulnerabilidad de escritura fuera de límites y un desbordamiento de búfer basado en pila en las páginas de login de FortiOS y FortiProxy podrían permitir a un atacante con acceso a la web de login ejecutar código o comandos arbitrarios a través de solicitudes HTTP especialmente diseñadas. Se han asignado los identificadores CVE-2023-42789 y CVE-2023-42790, de severidad crítica y alta respectivamente, para estas vulnerabilidades.
  • Una neutralización incorrecta de los elementos especiales utilizados en la explotación de una vulnerabilidad de inyección SQL en FortiClientEMS, podría permitir a un atacante, no autenticado, ejecutar código o comandos no autorizados a través de solicitudes maliciosas. Se ha asignado el identificador CVE-2023-48788 para esta vulnerabilidad.

Actualización de seguridad de SAP de marzo de 2024

Fecha13/03/2024
Importancia5 - Crítica
Recursos Afectados
  • SAP Build Apps, versiones anteriores a 4.9.145;
  • SAP NetWeaver AS Java (Administrator Log Viewer plug-in), versión 7.50;
  • SAP HANA Database, versión 2.0;
  • SAP HANA Extended Application Services Advanced (XS Advanced), versión 1.0;
  • SAP BusinessObjects Business Intelligence Platform (Central Management Console), versión 4.3.

El resto de productos afectados por vulnerabilidades, no críticas y altas, se pueden consultar en las referencias.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad: 2 de severidad crítica, 2 altas y 6 medias. También, se han actualizado 2 notas se seguridad de meses anteriores.

Los tipos de vulnerabilidades nuevas, críticas y altas, publicadas son:

  • inyección de código,
  • denegación de servicio,
  • recorrido de ruta.

La vulnerabilidad CVE-2019-10744 de severidad crítica detectada afecta a la biblioteca de utilidades 'lodash' que podría permitir a un atacante ejecutar comandos no autorizados en el sistema, lo que puede tener un impacto bajo en la confidencialidad y un impacto alto en la integridad y disponibilidad de la aplicación.

La vulnerabilidad CVE-2024-22127 de severidad crítica afecta a la lista de tipos de archivos prohibidos definidos para la funcionalidad de carga del complemento, ya que está incompleta. Esto permitiría al atacante ejecutar comandos que pueden causar un gran impacto en la confidencialidad, integridad y disponibilidad de la aplicación.

 


Múltiples vulnerabilidades en router Movistar 4G

Fecha13/03/2024
Importancia4 - Alta
Recursos Afectados
  • Router Movistar 4G, versión ES_WLD71-T1_v2.0.20182.
Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades: dos de severidad alta y una de severidad media, que afectan al router Movistar 4G, dispositivo hardware que permite la conexión a Internet, versión ES_WLD71-T1_v2.0.201820, las cuales han sido descubiertas por Gabriel Gonzalez García.

A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-2414: 8.8 | CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-419
  • CVE-2024-2415: 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-78
  • CVE-2024-2416: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N| CWE-352
Solución

Vulnerabilidades solucionadas en las versiones a partir de ES_WLD71-T1_v2.0.214140, lanzada en febrero de 2022.

Detalle
  • CVE-2024-2414: el canal primario está desprotegido en el router 4G de Movistar que afecta a la versión E S_WLD71-T1_v2.0.201820. Este dispositivo tiene el servicio 'adb' abierto en el puerto 5555 y brinda acceso a un shell con privilegios de root.
  • CVE-2024-2415: vulnerabilidad de inyección de comandos en el router 4G de Movistar que afecta a la versión ES_WLD71-T1_v2.0.201820. Esta vulnerabilidad permite a un usuario autenticado ejecutar comandos dentro del router, realizando una solicitud POST a la URL '/cgi-bin/gui.cgi'.
  • CVE-2024-2416: vulnerabilidad Cross-Site Request Forgery en el router 4G de Movistar que afecta a la versión ES_WLD71-T1_v2.0.201820. Esta vulnerabilidad permite a un atacante obligar a un usuario final ejecutar acciones no deseadas en una aplicación web en la que está actualmente autenticado.

Actualizaciones de seguridad de Microsoft de marzo de 2024

Fecha13/03/2024
Importancia5 - Crítica
Recursos Afectados
  • Windows Defender;
  • Open Management Infrastructure;
  • Microsoft Authenticator;
  • .NET;
  • Microsoft Azure Kubernetes Service;
  • Role: Windows Hyper-V;
  • Skype for Consumer;
  • Software for Open Networking in the Cloud (SONiC);
  • Microsoft Dynamics;
  • Azure SDK;
  • Microsoft Office SharePoint;
  • Windows Kerberos;
  • Windows USB Hub Driver;
  • Windows USB Serial Driver;
  • Windows Hypervisor-Protected Code Integrity;
  • Windows Update Stack;
  • Windows Print Spooler Components;
  • Microsoft Windows SCSI Class System File;
  • Windows OLE;
  • Windows Installer;
  • Microsoft Graphics Component;
  • Windows AllJoyn API;
  • Windows Telephony Server;
  • Windows ODBC Driver;
  • Microsoft WDAC OLE DB provider for SQL;
  • Windows USB Print Driver;
  • Windows Kernel;
  • Windows NTFS;
  • Microsoft Teams for Android;
  • Microsoft WDAC ODBC Driver;
  • Windows Cloud Files Mini Filter Driver;
  • SQL Server;
  • Visual Studio Code;
  • Microsoft Edge for Android;
  • Windows Error Reporting;
  • Windows Composite Image File System;
  • Windows Compressed Folder;
  • Microsoft QUIC;
  • Windows Standards-Based Storage Management Service;
  • Microsoft Exchange Server;
  • Microsoft Office;
  • Microsoft Intune;
  • Azure Data Studio;
  • Outlook for Android.
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de febrero, consta de 61 vulnerabilidades (con CVE asignado), calificadas 2 como críticas que afectan a Windows Hyper-V, y el resto importantes.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • escalada de privilegios,
  • ejecución remota de código,
  • denegación de servicio,
  • divulgación de información,
  • omisión de comprobación de seguridad,
  • spoofing,
  • tampering.

Las 2 vulnerabilidades críticas afectan a Windows Hyper-V y son de ejecución remota de código (CVE-2024-21407) y denegación de servicio (CVE-2024-21408).

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.