CVE: Vulnerabilidades Diciembre 2021
NextVision
0
CVE: Vulnerabilidades Diciembre 2021
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 10
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 10/12
• ACTUALIZACIÓN: 16/12
• RESUMEN: La vulnerabilidad Log4j se reportó como crítica ya que afecta a la librería de registro Apache Log4j basada en Java. El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.
• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 a 2.14.1
• CAUSAS: Deserialización de datos que no son de confianza.
Validación de entrada incorrecta. vConsumo no controlado de recursos.
• CONSECUENCIAS:Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.
• IMPACTO:
• MITIGACIÓN: Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 10/12
• ACTUALIZACIÓN: 16/12
• RESUMEN: La vulnerabilidad Log4j se reportó como crítica ya que afecta a la librería de registro Apache Log4j basada en Java. El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.
• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 a 2.14.1
• CAUSAS: Deserialización de datos que no son de confianza.
Validación de entrada incorrecta. vConsumo no controlado de recursos.
• CONSECUENCIAS:Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.
• IMPACTO:
- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico
• MITIGACIÓN: Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.0
• CVES RELACIONADOS: CVE-2021-44228
• FECHA DIVULGACIÓN: 14/12
• ACTUALIZACIÓN: 20/12
• RESUMEN: La vulnerabilidad se encontró ya que la corrección para la dirección CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas.
Log4j 2.16.0 (Java 8) y 2.12.2 (Java 7) solucionan este problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada.
• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 beta 9 a 2.12.1 y 2.13.0 a 2.15.0.
• CAUSAS: Denegación de servicio
• CONSECUENCIAS: Un atacante podría controlar los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}) o un patrón de mapa de contexto de subprocesos ( % X,% mdc o% MDC) para crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que da como resultado una fuga de información y la ejecución remota de código en algunos entornos y la ejecución de código local en todos los entornos.
• IMPACTO:
• MITIGACIÓN: Se recomienda actualizar a Log4j 2.16.0, ya que soluciona este problema eliminando la compatibilidad con los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI de forma predeterminada.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• CVES RELACIONADOS: CVE-2021-44228
• FECHA DIVULGACIÓN: 14/12
• ACTUALIZACIÓN: 20/12
• RESUMEN: La vulnerabilidad se encontró ya que la corrección para la dirección CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas.
Log4j 2.16.0 (Java 8) y 2.12.2 (Java 7) solucionan este problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada.
• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 beta 9 a 2.12.1 y 2.13.0 a 2.15.0.
• CAUSAS: Denegación de servicio
• CONSECUENCIAS: Un atacante podría controlar los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}) o un patrón de mapa de contexto de subprocesos ( % X,% mdc o% MDC) para crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que da como resultado una fuga de información y la ejecución remota de código en algunos entornos y la ejecución de código local en todos los entornos.
• IMPACTO:
- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad:Alto
• MITIGACIÓN: Se recomienda actualizar a Log4j 2.16.0, ya que soluciona este problema eliminando la compatibilidad con los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI de forma predeterminada.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.1
• CVES RELACIONADOS: CVE-2021-44228
• FECHA DIVULGACIÓN: 14/12
• ACTUALIZACIÓN: 16/12
• RESUMEN: La vulnerabilidad se encontró en JMSAppender dentro Log4j 1.2 y es vulnerable a la deserialización de datos que no son de confianza cuando el atacante tiene acceso de escritura a la configuración de Log4j.
Este problema solo afecta a Log4j 1.2 cuando se configura específicamente para usar JMSAppender, que no es el predeterminado. Apache Log4j 1.2 llegó al final de su vida útil en agosto de 2015. Los usuarios deben actualizar a Log4j 2, ya que resuelve muchos otros problemas de las versiones anteriores.
• PRODUCTO AFECTADO: Apache Log4j, versiones 1.2.x
• CAUSAS: Deserialización de datos que no son de confianza.
• CONSECUENCIAS: El atacante puede proporcionar configuraciones TopicBindingName y TopicConnectionFactoryBindingName, lo que hace que JMSAppender realice solicitudes JNDI que dan como resultado la ejecución remota de código de manera similar a CVE-2021-44228
• IMPACTO:
• MITIGACIÓN: Se recomienda eliminar JMSAppender en la configuración de Log4j si se utiliza, como así también eliminar la clase JMSAppender de la ruta de clases. Restringir el acceso del usuario del sistema operativo en la plataforma que ejecuta la aplicación para evitar que el atacante modifique la configuración de Log4j.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• CVES RELACIONADOS: CVE-2021-44228
• FECHA DIVULGACIÓN: 14/12
• ACTUALIZACIÓN: 16/12
• RESUMEN: La vulnerabilidad se encontró en JMSAppender dentro Log4j 1.2 y es vulnerable a la deserialización de datos que no son de confianza cuando el atacante tiene acceso de escritura a la configuración de Log4j.
Este problema solo afecta a Log4j 1.2 cuando se configura específicamente para usar JMSAppender, que no es el predeterminado. Apache Log4j 1.2 llegó al final de su vida útil en agosto de 2015. Los usuarios deben actualizar a Log4j 2, ya que resuelve muchos otros problemas de las versiones anteriores.
• PRODUCTO AFECTADO: Apache Log4j, versiones 1.2.x
• CAUSAS: Deserialización de datos que no son de confianza.
• CONSECUENCIAS: El atacante puede proporcionar configuraciones TopicBindingName y TopicConnectionFactoryBindingName, lo que hace que JMSAppender realice solicitudes JNDI que dan como resultado la ejecución remota de código de manera similar a CVE-2021-44228
• IMPACTO:
- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad: Bajo
• MITIGACIÓN: Se recomienda eliminar JMSAppender en la configuración de Log4j si se utiliza, como así también eliminar la clase JMSAppender de la ruta de clases. Restringir el acceso del usuario del sistema operativo en la plataforma que ejecuta la aplicación para evitar que el atacante modifique la configuración de Log4j.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.7
• CVES RELACIONADOS: CVE-2021-43242, CVE-2021-42320, CVE-2021-42309
• FECHA DIVULGACIÓN: 15/12
• ACTUALIZACIÓN: 15/12
• RESUMEN: La vulnerabilidad existe debido al procesamiento incorrecto de los datos proporcionados por el usuario. Un atacante remoto puede falsificar el contenido de la página ya que se realiza validación insuficiente de la entrada proporcionada por el usuario.
• PRODUCTO AFECTADO: Microsoft SharePoint Server: 2013, 2016, 2019
• CAUSAS: Ejecución de código remoto (RCE)
• CONSECUENCIAS: La vulnerabilidad permite a un atacante remoto realizar un ataque de suplantación de identidad.
• IMPACTO:
• MITIGACIÓN: Se recomienda realizar las actualizaciones correspondientes.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• CVES RELACIONADOS: CVE-2021-43242, CVE-2021-42320, CVE-2021-42309
• FECHA DIVULGACIÓN: 15/12
• ACTUALIZACIÓN: 15/12
• RESUMEN: La vulnerabilidad existe debido al procesamiento incorrecto de los datos proporcionados por el usuario. Un atacante remoto puede falsificar el contenido de la página ya que se realiza validación insuficiente de la entrada proporcionada por el usuario.
• PRODUCTO AFECTADO: Microsoft SharePoint Server: 2013, 2016, 2019
• CAUSAS: Ejecución de código remoto (RCE)
• CONSECUENCIAS: La vulnerabilidad permite a un atacante remoto realizar un ataque de suplantación de identidad.
• IMPACTO:
- Confidencialidad: Medio
- Integridad: Medio
- Disponibilidad: Bajo
• MITIGACIÓN: Se recomienda realizar las actualizaciones correspondientes.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.1
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 14/12
• ACTUALIZACIÓN: 15/12
• RESUMEN: La vulnerabilidad suplanta la identidad del instalador de AppX afectando a Microsoft Windows. Los atacantes han estado aprovechando esta vulnerabilidad para instalar paquetes que incluyen algunas familias de malware como son Emotet, TrickBot o Bazaloader.
• PRODUCTO AFECTADO: Instalador Windows AppX
• CAUSAS: Suplantación de identidad
• CONSECUENCIAS: Un atacante podría crear un archivo adjunto malicioso para utilizarlo en campañas de phishing. El atacante tendría que convencer al usuario de que abra el archivo adjunto especialmente diseñado. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.
• IMPACTO:
• MITIGACIÓN: Microsoft recomienda verificar las actualizaciones y consultar las secciones Mitigaciones y Soluciones para obtener información importante sobre los pasos que puede tomar para proteger su sistema de esta vulnerabilidad.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 14/12
• ACTUALIZACIÓN: 15/12
• RESUMEN: La vulnerabilidad suplanta la identidad del instalador de AppX afectando a Microsoft Windows. Los atacantes han estado aprovechando esta vulnerabilidad para instalar paquetes que incluyen algunas familias de malware como son Emotet, TrickBot o Bazaloader.
• PRODUCTO AFECTADO: Instalador Windows AppX
• CAUSAS: Suplantación de identidad
• CONSECUENCIAS: Un atacante podría crear un archivo adjunto malicioso para utilizarlo en campañas de phishing. El atacante tendría que convencer al usuario de que abra el archivo adjunto especialmente diseñado. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.
• IMPACTO:
- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Bajo
• MITIGACIÓN: Microsoft recomienda verificar las actualizaciones y consultar las secciones Mitigaciones y Soluciones para obtener información importante sobre los pasos que puede tomar para proteger su sistema de esta vulnerabilidad.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.3
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 14/12
• ACTUALIZACIÓN: 15/12
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta en la aplicación de Microsoft Office. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
• PRODUCTO AFECTADO: Microsoft Office en todas las versiones.
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.
• IMPACTO:
• MITIGACIÓN: Microsoft recomienda actualizar su lista de parches.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 14/12
• ACTUALIZACIÓN: 15/12
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta en la aplicación de Microsoft Office. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
• PRODUCTO AFECTADO: Microsoft Office en todas las versiones.
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.
• IMPACTO:
- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Bajo
• MITIGACIÓN: Microsoft recomienda actualizar su lista de parches.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 8/12
• ACTUALIZACIÓN: 9/12
• RESUMEN: La vulnerabilidad existe por el desbordamiento de enteros en el asignador de memoria de SSLVPN en FortiOS anterior a 7.0.1 y puede permitir que un atacante no autenticado corrompa los datos de control a través de solicitudes específicamente diseñadas a SSLVPN, lo que da como resultado la ejecución de código potencialmente arbitrario.
• PRODUCTO AFECTADO: FortiOS, version 7.0.1 y anteriores
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante puede ejecutar remotamente código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
• IMPACTO:
• MITIGACIÓN: Fortinet recomienda realizar las actualizaciones correspondientes que solucionaran la vulnerabilidad.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 8/12
• ACTUALIZACIÓN: 9/12
• RESUMEN: La vulnerabilidad existe por el desbordamiento de enteros en el asignador de memoria de SSLVPN en FortiOS anterior a 7.0.1 y puede permitir que un atacante no autenticado corrompa los datos de control a través de solicitudes específicamente diseñadas a SSLVPN, lo que da como resultado la ejecución de código potencialmente arbitrario.
• PRODUCTO AFECTADO: FortiOS, version 7.0.1 y anteriores
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante puede ejecutar remotamente código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
• IMPACTO:
- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Bajo
• MITIGACIÓN: Fortinet recomienda realizar las actualizaciones correspondientes que solucionaran la vulnerabilidad.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.5
• CVES RELACIONADOS: CVE-2021-44228
• FECHA DIVULGACIÓN: 18/12
• ACTUALIZACIÓN: 26/12
• RESUMEN: La vulnerabilidad de Apache Log4J no protege la recursividad incontrolada de búsquedas autorreferenciales. Esto permite que un atacante con control sobre los datos del mapa de contexto de subprocesos cause una denegación de servicio cuando se interpreta una cadena elaborada.
• PRODUCTO AFECTADO: Apache Log4j2 versiones 2.0-alpha1 a 2.16.0
• CAUSAS: Denegación de servicio
• CONSECUENCIAS: Un atacante podría explotar la vulnerabilidad de la recursión de referencias a sí mismas entre lookups; pudiendo fabricar entradas maliciosas que contengan lookups recursivos. Principalmente para provocar una excepción que fuerce la finalización del proceso con un código de error, de modo que podría ser aprovechado para la realización de un ataque de denegación de servicio.
• IMPACTO:
• MITIGACIÓN: Se recomienda actualizar a la última versión de Log4j 2.17.0 en la cuál se resuelven los fallos de seguridad.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• CVES RELACIONADOS: CVE-2021-44228
• FECHA DIVULGACIÓN: 18/12
• ACTUALIZACIÓN: 26/12
• RESUMEN: La vulnerabilidad de Apache Log4J no protege la recursividad incontrolada de búsquedas autorreferenciales. Esto permite que un atacante con control sobre los datos del mapa de contexto de subprocesos cause una denegación de servicio cuando se interpreta una cadena elaborada.
• PRODUCTO AFECTADO: Apache Log4j2 versiones 2.0-alpha1 a 2.16.0
• CAUSAS: Denegación de servicio
• CONSECUENCIAS: Un atacante podría explotar la vulnerabilidad de la recursión de referencias a sí mismas entre lookups; pudiendo fabricar entradas maliciosas que contengan lookups recursivos. Principalmente para provocar una excepción que fuerce la finalización del proceso con un código de error, de modo que podría ser aprovechado para la realización de un ataque de denegación de servicio.
• IMPACTO:
- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad: Alto
• MITIGACIÓN: Se recomienda actualizar a la última versión de Log4j 2.17.0 en la cuál se resuelven los fallos de seguridad.
• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
La Ciberseguridad la Hacemos Juntos
Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.
En caso de dudas o consultas sobre las CVE: Vulnerabilidades Diciembre 2021, comunícate con nuestro equipo enviándonos tus comentarios aquí.
