SolarWinds ha solucionado 8 fallas en Access Rights Manager, incluidas 6 que permitían ejecución remota de código. Cisco corrigió una vulnerabilidad en sus dispositivos Security Email Gateway que permitía agregar usuarios root y causar DoS. Splunk abordó una falla en su interfaz web que permitía acceder a archivos sin autenticación previa, y Canonical lanzó parches para varias vulnerabilidades del kernel de Linux en sistemas Azure de Ubuntu 16.04 y 18.04.
SolarWinds corrige errores críticos en el software de auditoría de derechos de acceso
SolarWinds ha corregido 8 vulnerabilidades críticas en su software Access Rights Manager (ARM), 6 de las cuales permitían a los atacantes obtener ejecución remota de código (RCE). Estas vulnerabilidades, identificadas con los CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 y CVE-2024-23470, tienen una puntuación de gravedad de 9,6 sobre 10 y podrían permitir a atacantes sin privilegios ejecutar código o comandos en sistemas no actualizados. Además, se corrigieron vulnerabilidades de recorrido de directorios y de elusión de autenticación, todas reportadas a través de la Zero Day Initiative de Trend Micro y solucionadas en la versión 2024.3 de ARM.
Un error crítico de Cisco permite a agregar usuarios root en dispositivos SEG
Cisco ha solucionado una vulnerabilidad crítica, identificada como CVE-2024-20401, que permitía a los atacantes agregar nuevos usuarios con privilegios de root y provocar un bloqueo permanente de los dispositivos Security Email Gateway (SEG) mediante correos electrónicos con archivos adjuntos maliciosos.
Esta falla de seguridad de escritura de archivos arbitrarios en las funciones de escaneo de contenido y filtrado de mensajes se debe a una debilidad de recorrido de ruta que permite reemplazar archivos en el sistema operativo subyacente. Los atacantes podrían agregar usuarios con privilegios de root, modificar la configuración del dispositivo, ejecutar códigos arbitrarios o causar una condición de DoS permanente en el dispositivo afectado.
La vulnerabilidad CVE-2024-20401 afecta a los dispositivos SEG que ejecutan una versión vulnerable de Cisco AsyncOS y que tienen habilitadas las funciones de análisis de archivos o filtros de contenido.
Cisco ha lanzado la corrección para esta vulnerabilidad en las versiones del paquete Content Scanner Tools 23.3.0.4823 y posteriores. La compañía no ha encontrado evidencia de exploits públicos ni intentos de explotación dirigidos a esta vulnerabilidad.
Falla crítica de Splunk puede ser explotada para obtener contraseñas
La vulnerabilidad recientemente corregida e identificada como CVE-2024-3699, afecta a Splunk Enterprise en Windows. Esta vulnerabilidad de recorrido de directorios en la interfaz web de Splunk permite a los atacantes acceder a archivos o directorios fuera del directorio restringido. La explotación exitosa no requiere autenticación previa y puede realizarse mediante una solicitud GET especialmente diseñada.
La vulnerabilidad afecta a las versiones de Splunk Enterprise anteriores a 9.2.2, 9.1.5 y 9.0.10 en Windows, y solo si el componente web de Splunk está activado. Algunos investigadores recomiendan a los administradores implementar el parche de inmediato, ya que se han descubierto hasta 230 mil servidores expuestos que están ejecutando Splunk.
Deshabilitar el componente web de Splunk también elimina el riesgo de explotación, aunque es preferible actualizar a una versión corregida. El equipo de investigación de amenazas de Splunk ha proporcionado una consulta de búsqueda para detectar intentos de explotación contra el endpoint /modules/messaging.
Varias vulnerabilidades del kernel de Linux en Azure corregidas en Ubuntu
La empresa Canonical ha lanzado actualizaciones de seguridad para abordar varias vulnerabilidades en el kernel de Linux para sistemas en la nube de Microsoft Azure en Ubuntu 16.04 ESM y Ubuntu 18.04 ESM. Estas vulnerabilidades podrían permitir a un atacante causar una DoS, exponer información sensible o ejecutar código arbitrario.
Entre las vulnerabilidades parcheadas se encuentran: CVE-2021-33631, una falla en el sistema de archivos ext4; CVE-2023-6270, una condición de carrera en el controlador ATA sobre Ethernet; CVE-2024-2201, una mitigación insuficiente para la inyección de historial de ramas en procesadores Intel; CVE-2024-23307, una condición de carrera en el controlador de RAID de software; y CVE-2024-24861, una condición de carrera en el controlador del sintonizador de silicio Xceive XC4000.
Además, se corrigieron varios problemas en subsistemas del kernel como el subsistema de capas de bloques, el núcleo del generador de números aleatorios de hardware, los controladores de GPU, el sistema de archivos AFS, la gestión de memoria y Netfilter.
Aunque Ubuntu 16.04 y 18.04 han alcanzado el fin de su vida útil, las actualizaciones de seguridad están disponibles a través del Mantenimiento de Seguridad Extendido (ESM) con Ubuntu Pro, que ofrece soporte más allá de los cinco años estándar de las versiones LTS de Ubuntu. Como alternativa, TuxCare proporciona Soporte de Ciclo de Vida Extendido (ELS), ofreciendo parches de seguridad adicionales durante cinco años después de la fecha de EOL. TuxCare ha liberado parches para las mencionadas vulnerabilidades y ofrece KernelCare Enterprise, una solución de parcheo en vivo que permite aplicar actualizaciones de seguridad sin necesidad de reiniciar el sistema. El equipo de KernelCare está trabajando en el despliegue de parches en vivo para estas vulnerabilidades del kernel de Linux para los usuarios de Microsoft Azure Cloud.