Google ha anunciado que Chrome dejará de confiar en los nuevos certificados TLS emitidos por Entrust y AffirmTrust a partir del 1 de noviembre debido a repetidos fallos de cumplimiento. Además, esta semana se corrigieron 25 errores de Android, Juniper Networks lanzó una actualización de emergencia para solucionar una vulnerabilidad que permite a un atacante omitir la autenticación en algunos productos, GitLab lanza parcher para un error crítico y Cisco advierte sobre vulnerabilidades de día cero en NX-OS.
Chrome bloqueará los certificados Entrust a partir de noviembre
Google anunció que a partir del 1 de noviembre la versión 127 de Chrome y las posteriores, dejarán de confiar en los nuevos certificados de autenticación de servidor TLS emitidos por Entrust y AffirmTrust. La decisión se debe a una serie de fallos de cumplimiento y compromisos por parte de estas autoridades de certificación en los últimos seis años.
Google ha recomendado a los propietarios de sitios web que cambien a una nueva certificación de confianza pública antes de la fecha límite para evitar interrupciones en sus servicios.
Las autoridades de certificación son cruciales para proteger las conexiones cifradas entre navegadores y sitios web, y deben cumplir con estrictos estándares de seguridad. Para Google, la confianza en Entrust ya no está justificada debido al riesgo que representan.
Después del 1 de noviembre, los usuarios de Chrome encontrarán advertencias de seguridad si visitan sitios con certificados de Entrust o AffirmTrust. Este cambio afectará a múltiples plataformas, incluyendo Windows, macOS, ChromeOS, Android y Linux.
Google corrige 25 errores de Android
Google ha lanzado parches para 25 vulnerabilidades de seguridad en Android, incluyendo una falla crítica en el componente Framework identificada como CVE-2024-31320, que afecta a las versiones 12 y 12L del sistema operativo y permite a un atacante aumentar los privilegios en un dispositivo vulnerable. Esta falla crítica se abordó en el “2024-07-01 security patch level”, que también corrige otros siete problemas de alta gravedad, como errores de escalada de privilegios y una vulnerabilidad de divulgación de información en el componente System.
La segunda parte de la actualización de seguridad de julio entrega información para resolver 17 vulnerabilidades adicionales en componentes como Kernel, Arm, Imagination Technologies, MediaTek y Qualcomm, cubriendo en total los 25 errores.
Aún no se ha publicado un boletín de seguridad para dispositivos Pixel, aunque se espera que siga el patrón del mes anterior, donde se abordó un problema de elevación de privilegios explotado como un ataque de día cero.
Juniper lanza solución para una falla de omisión de autenticación
Juniper Networks lanzó una actualización de emergencia para solucionar una vulnerabilidad crítica identificada con el CVE-2024-2973, la que permite a un atacante omitir la autenticación y tomar el control total de los productos Session Smart Router (SSR), Session Smart Conductor y WAN Assurance Router.
Esta vulnerabilidad afecta a configuraciones redundantes de alta disponibilidad, comunes en infraestructuras de red críticas como grandes empresas, centros de datos, telecomunicaciones y servicios gubernamentales.
Las versiones afectadas incluyen todas las versiones anteriores a la 5.6.15 para SSR, versiones 6.0 anteriores a la 6.1.9-lts y 6.2 anteriores a la 6.2.5-sts para el enrutador de garantía WAN.
Juniper asegura que la implementación de estas actualizaciones no interrumpirá el tráfico de producción, con un impacto mínimo de aproximadamente 30 segundos de inactividad para la gestión basada en web y las API. El fabricante dijo que no hay soluciones alternativas, y se recomienda a los administradores actualizar a las versiones 5.6.15, 6.1.9-lts y 6.2.5-sts para SSR, y actualizar los nodos Conductor para aplicar automáticamente la solución a los enrutadores conectados.
Error crítico de GitLab permite ejecutar pipelines como usuario
Una vulnerabilidad crítica identificada como CVE-2024-5655 con una gravedad de 9.6 afecta a GitLab Community y Enterprise Edition, permitiendo a los atacantes ejecutar pipelines como otros usuarios.
La falla impacta a todas las versiones de GitLab CE/EE de la 15.8 a la 16.11.4, de la 17.0.0 a la 17.0.2, y la 17.1.0, y GitLab ha recomendado actualizar inmediatamente a las versiones 17.1.1, 17.0.3 y 16.11.5. Además, la actualización incluye dos cambios significativos: los pipelines ya no se ejecutarán automáticamente en ciertos casos y el CI_JOB_TOKEN está deshabilitado por defecto para la autenticación GraphQL.
La actualización también aborda otras 13 vulnerabilidades, tres de alta gravedad: CVE-2024-4901 que es una vulnerabilidad XSS almacenada que permite la inyección de scripts maliciosos; CVE-2024-4994 que es una vulnerabilidad CSRF en la API GraphQL que permite a los atacantes ejecutar mutaciones arbitrarias; y CVE-2024-6323 que consiste es una falla de autorización que permite a los atacantes ver resultados de búsqueda de repositorios privados en proyectos públicos.
Cisco advierte sobre vulnerabilidades de día cero en NX-OS
Cisco ha publicado un parche para la vulnerabilidad de día cero en NX-OS que fue explotada en abril para instalar malware como root en conmutadores vulnerables.
Esta vulnerabilidad estaba siendo explotada por el actor chino conocido como Velvet Ant, quienes utilizaban credenciales de administrador para acceder a los conmutadores Cisco Nexus y desplegar malware personalizado, permitiendo el acceso remoto y la ejecución de código malicioso.
La vulnerabilidad, CVE-2024-20399, puede ser explotada por atacantes locales con privilegios de administrador para ejecutar comandos arbitrarios con permisos de root en dispositivos NX-OS vulnerables, sin activar mensajes de syslog, lo que oculta signos de compromiso.
La lista de dispositivos afectados incluye varios conmutadores de las series MDS 9000, Nexus 3000, 5500, 5600, 6000, 7000 y 9000 en modo NX-OS independiente.
Por todo lo anterior, Cisco recomienda a los clientes que supervisen y cambien periódicamente las credenciales administrativas y utilicen la herramienta Cisco Software Checker para verificar la exposición a CVE-2024-20399.