Análisis de Vulnerabilidades y sus Identificadores CVE en Sistemas Conectados

By /

En el panorama actual de la ciberseguridad, la identificación y gestión de vulnerabilidades es crucial para proteger sistemas y datos. Las vulnerabilidades son debilidades en el software, hardware o configuraciones que pueden ser explotadas por atacantes para comprometer la seguridad. Muchas de estas debilidades son registradas con un Identificador de Vulnerabilidad Común (CVE, por sus siglas en inglés), lo que permite un seguimiento y una comunicación estandarizada sobre las mismas.

A continuación, se detallan diversas vulnerabilidades identificadas en una variedad de sistemas y protocolos, incluyendo aquellas que afectan a puertos específicos y sus correspondientes exploits.

Infografía: Ciclo de vida de una vulnerabilidad CVE

Vulnerabilidades Críticas en el Protocolo UPnP (Universal Plug and Play)

El protocolo UPnP (Universal Plug and Play), diseñado hace más de una década para simplificar la interconexión automática de dispositivos en una red, presenta una seria vulnerabilidad que puede ser explotada para participar en ataques masivos de denegación de servicio (DDoS). Esta falla, identificada con un ID de vulnerabilidad CVE, permite que dispositivos vulnerables, con el protocolo UPnP expuesto a Internet, sean utilizados para inundar a una víctima con tráfico basura.

El Exploit "CallStranger"

El exploit asociado a esta vulnerabilidad ha sido bautizado como "CallStranger". Este exploit aprovecha la capacidad SUBSCRIBE de UPnP, utilizada por los dispositivos para recibir notificaciones de eventos (como la reproducción de contenido multimedia) desde otros aparatos. La falla permite que un usuario remoto no autentificado acceda e interactúe con dispositivos que, en teoría, solo deberían ser accesibles desde una red local.

Mecanismo de Ataque y Acceso Remoto

CallStranger se enfoca en la funcionalidad SUBSCRIBE de UPnP. Normalmente, esta característica se utiliza para que los dispositivos se mantengan informados sobre cambios o eventos. Sin embargo, el exploit manipula esta capacidad para forzar a los dispositivos vulnerables a enviar grandes cantidades de datos no solicitados hacia un objetivo específico, contribuyendo a un ataque de denegación de servicio. Uno de los aspectos más críticos de esta vulnerabilidad es que permite a un atacante remoto, sin necesidad de autenticación previa, obtener control sobre dispositivos que deberían estar protegidos dentro de una red local. Esto abre la puerta a la utilización indebida de estos dispositivos para fines maliciosos.

Es importante destacar que esta vulnerabilidad existe dentro del servicio UPnP, que escucha en el puerto TCP 5000 de forma predeterminada. Un atacante adyacente a la red podría ejecutar código arbitrario en los dispositivos afectados.

Gestión y Solución de la Vulnerabilidad UPnP

La falla fue debidamente reportada a la Open Connectivity Foundation, la entidad encargada del mantenimiento del protocolo UPnP. Como respuesta, la fundación ha procedido a actualizar la especificación afectada para corregir el problema subyacente. Se recomienda a los usuarios finales que consulten con los fabricantes y desarrolladores de sus dispositivos para obtener información sobre la disponibilidad de parches y actualizaciones. La mejor medida de defensa preventiva contra esta vulnerabilidad es, sin duda, la deshabilitación del protocolo UPnP siempre que sea posible.

Que es UPnP? (Segundo intento de explicación)

Vulnerabilidades en Servidores HTTP y Streaming

Servidor H2O

H2O es un servidor HTTP compatible con HTTP/1.x, HTTP/2 y HTTP/3. Se ha descubierto que cliente y h2o pueden desviar las solicitudes HTTPS que van a otros backends y observar el contenido de esa solicitud HTTPS que se envía. Esto ocurre cuando una conexión TLS y un atacante redirige los paquetes a una dirección o puerto diferente al previsto por el cliente, como backend de una de las direcciones o puertos que escucha la instancia de h2o. En el caso en el que está escuchando la misma instancia de h2o, con un servidor controlado por el atacante como backend, dependiendo de la configuración, las solicitudes HTTPS del cliente víctima pueden reenviarse al servidor del atacante. H2O puede conectarse a servidores backend administrados por múltiples entidades. Hay un parche disponible en el commit 35760540337a47e5150da0f4a66a609fad2ef0ab.

Además, H2O es susceptible a un ataque de agotamiento de estado. Cuando H2O sirve HTTP/3, un atacante remoto puede aprovechar esta vulnerabilidad para aumentar progresivamente la memoria retenida por la pila QUIC, lo que eventualmente puede causar que H2O se cancele debido al agotamiento de la memoria. La vulnerabilidad se resolvió en el commit d67e81d03be12a9d53dc8271af6530f40164cd35. Cabe destacar que las versiones de H2O anteriores no están afectadas por esta vulnerabilidad ya que no utilizan QUIC.

Servidor Icecast2 (Puerto 8000)

Durante un análisis de vulnerabilidades, se identificó que el puerto 8000 puede albergar un servicio Icecast streaming media server, que es un servidor de medios poco común en máquinas corporativas. La respuesta indica que se trata de Icecast2, un servidor de streaming conocido por tener vulnerabilidades. Sabiendo que se trata de Icecast 2, se buscaron vulnerabilidades conocidas, lo que permitió obtener una sesión Meterpreter. Icecast2.exe fue observado corriendo bajo el usuario 'dark' en un sistema de 64 bits con Windows 7 SP1. Metasploit, una herramienta de explotación, cuenta con módulos de post-explotación que escanean el sistema y sugieren vulnerabilidades locales de escalada, examinando el sistema y sugiriendo varios exploits disponibles. Se encontró lsass.exe (Local Security Authority Subsystem Service) con PID elevado, corriendo como SYSTEM.

Diagrama de arquitectura de un servidor HTTP/3 con QUIC

Vulnerabilidades en Productos y Plataformas Diversas

Plataformas de Desarrollo y Gestión

  • Laf: Laf es una plataforma de desarrollo en la nube. En un entorno de privatización, cuando namespaceConf.fijo está marcado, puede provocar la fuga de información confidencial en el sistema. Específicamente, de privatización, puede provocar una filtración de información confidencial en secreto y en el mapa de configuración. Para un objeto, el nombre del propio objeto se utilizará como clave y toda la estructura del objeto se integrará intacta. Se descubrió que la base de datos se insertó directamente en la plantilla, lo que resultó en controlabilidad. También se menciona el campo envFrom de k8s.
  • SchedMD Slurm 22.05.x y 23.02.x: Se descubrió un problema en estas versiones, relacionado con archivos con un conjunto no autorizado de grupos extendidos.
  • Dell vApp Manager: Las versiones anteriores a la 9.2.4.x contienen una vulnerabilidad de divulgación de información, así como una vulnerabilidad de inyección de comandos.

Aplicaciones Web y CMS

  • Aleksandar Uroševi? Stock Ticker: Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') que permite XSS reflejado.
  • WhatsUp Gold (versiones anteriores a 2023.1):
    • Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas, afectando valores dentro de un grupo de dispositivos.
    • Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas, afectando valores en el Centro de Alertas.
    • Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas, afectando valores dentro de Roles.
    • Se descubrió que a un endpoint de API le faltaba un mecanismo de autenticación.
  • EnigmaWeb WP Catalog: La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') permite almacenar XSS. También se menciona que un plugin con kanban board y gantt charts permite almacenar XSS.
  • Labs64 Credit Tracker: La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') permite almacenar XSS.
  • GitLab CE/EE (versiones a partir de la 11.9): Afecta a todas las versiones a partir de la 11.9. GitLab no validaba correctamente los archivos de imagen, resultando en ejecución remota de comandos. Un atacante remoto podría ejecutar comandos arbitrarios como usuario 'git' debido al mal manejo de ExifTool de los archivos DjVu.

Infraestructura y Componentes de Red

  • ZTE ZXCLOUD iRAI: Existe una vulnerabilidad de permiso de carpeta débil y una vulnerabilidad de descarga de archivos arbitrarios en este producto. Algunos productos de Internet móvil de ZTE también presentan vulnerabilidades de inyección SQL.
  • D-Link Wi-Fi router firmware DIR-890L DIR890LA1_FW107b09.bin y versiones anteriores: La interfaz de configuración web del lado de la LAN tiene una vulnerabilidad de desbordamiento de búfer basado en pila. La función creada en 0x17958 de /htdocs/cgibin llamará a sprintf sin verificar la longitud de las cadenas en los parámetros proporcionados por el encabezado HTTP y puede ser controlada por los usuarios fácilmente, usando cadenas vectoriales.
  • Beckhoffs TwinCAT/BSD (paquete authelia-bhf): Es propenso a una redirección abierta que permite a un atacante remoto sin privilegios redirigir a un usuario a otro sitio.
  • Firewall PAN con GlobalProtect: Vulnerabilidad de corrupción de memoria que afecta al firewall de PAN que utiliza GlobalProtect portal VPN. La causa es un Buffer Overflow. Paloalto recomienda aplicar los parches lanzados.

Frameworks y Servicios

  • Hono (framework web en TypeScript): Utiliza TrieRouter. Por lo tanto, existe el riesgo de que un usuario privilegiado utilice parámetros no deseados al eliminar recursos de la API REST si la aplicación coincide con un patrón que no es compatible con el RegExpRouter predeterminado. La versión 3.11.7 incluye el cambio para solucionar este problema.
  • Apache Dubbo (versión 3.1.5): Vulnerabilidad de deserialización de datos no confiables. Este problema solo afecta a Apache Dubbo 3.1.5.
  • Servicio Windows Installer: Vulnerabilidad presente dentro del servicio de Windows Installer. Un atacante podría escalar privilegios en versiones afectadas de Microsoft Windows mediante la ejecución de código con pocos privilegios.
  • MSRPC (Microsoft Remote Procedure Call): Los servicios MSRPC proporcionan interfaces para el acceso y administración de los sistemas de Windows de modo remoto. Se han descubierto y explotado varias vulnerabilidades de seguridad bajo condiciones normales de operación en el sistema MSRPC de Windows (ejemplos como el gusano Conficker, gusano Sasser...).
  • SSH: Un atacante podría hacer uso de esta vulnerabilidad si logra conectarse a un dispositivo afectado a través de SSH. Cisco recomienda actualizar a la última versión lanzada, teniendo en cuenta que si las versiones anteriores de Cisco Policy Suite se actualizan a la versión 21.2.0, las claves SSH predeterminadas aún deben cambiarse manualmente.

Vulnerabilidades del Kernel de Linux

  • Kernel de Linux (net/tipc/crypto.c): Problema en net/tipc/crypto.c dentro del kernel de Linux en versiones anteriores a 5.14.16. Un atacante podría ejecutar código arbitrario dentro del kernel, comprometiendo en su totalidad el sistema afectado, ya que existe una falta de comprobación para el campo keylen del mensaje MSG_CRPPTO. La publicación está disponible en la página del proveedor.
  • Kernel de Linux (XArray): Arreglo para xas_create_range() cuando hay una entrada de orden múltiple presente. Problema: Si ya hay una entrada presente que es de orden >= XA_CHUNK_SHIFT al llamar a xas_create_range(), esta función malinterpretará la entrada como un nodo y desreferenciará xa_node->parent, generalmente provocando un bloqueo (panic). Los síntomas incluyen un error de protección general, probablemente para una dirección no canónica. El error se manifiesta en: RIP: 0010:xa_parent_locked include/linux/xarray.h:1207 [inline] RIP: 0010:xas_create_range+0x2d9/0x6e0 lib/xarray.c:725.

Otras Vulnerabilidades de Seguridad Generales

  • Kaspersky Password Manager: Permite a atacantes locales escalar privilegios en instalaciones afectadas, debido a falsificación de solicitudes del lado del servidor.
  • Adobe Creative Cloud Installer: Un atacante local podría elevar privilegios en el instalador, resultando en una elevación de privilegios en el instalador.
  • Ejecución de Código Remoto (RCE) y Path Traversal: Un atacante puede cargar un archivo .zip que contiene un Java Server Pages (JSP) WebShell haciéndolo pasar por un certificado X509: service.cer. Las consecuencias son la ejecución de código remoto y path traversal.

tags: #puerto #49152 #id #vulnerabilidad #cve

Publicaciones populares:

  • propuesta teórica sobre la vinculación paradigmática
  • Todo sobre Septoplastia y Turbinoplastia
  • Paulina García: un referente en las artes escénicas chilenas
  • sobre el daltonismo
  • Opciones de vivienda para familias vulnerables