Blog

Alerta por nuevas vulnerabilidades críticas en productos Fortinet, Microsoft Exchange, Zimbra y VM2

1) Fortinet FortiOs, FortyProxy y FortiProxySwitchManager

Descripción: CVE-2022-40684, corresponde a un bypass de autenticación en FortiOS, FortiProxy y FortiProxySwitchManager que podría permitir a un atacante realizar operaciones no autorizadas en la interfaz de administración (API) a través de solicitudes HTTP especialmente diseñadas. Según el fabricante, esta vulnerabilidad está siendo explotada activamente.

La lista de dispositivos afectados son las siguientes:

  • FortiOS versión 7.2.0 a 7.2.1
  • FortiOS versión 7.0.0 a 7.0.6
  • FortiProxy versión 7.2.0
  • FortiProxy versión 7.0.0 a 7.0.6
  • FortiSwitchManager versión 7.2.0
  • FortiSwitchManager versión 7.0.0

Mitigación: Actualizar a la ultima versión disponible y además, deshabilitar o restringir el acceso a la interfaz de administración. Adicionalmente, CronUp recomienda realizar un análisis de seguridad por posibles compromisos anteriores a la implementación del parche o actualización de seguridad.

Referencias: Alerta del fabricante e Indicadores de Ataque por Horizon3:

2) Microsoft Exchange Server

Descripción: Las nuevas vulnerabilidades para el servicio de Microsoft Exchange Server apodado como «ProxyNotShell«, aprovecha las vulnerabilidades de CVE-2022-41040 de Microsoft server-side request forgery (SSRF) publicada recientemente y una segunda vulnerabilidad, la CVE-2022-41082 que permite la ejecución remota de código (RCE) en la consola de comandos, PowerShell para poder escalar privilegios en el sistema y tener el control del servidor.

Basado en ProxyShell, esta nueva vulnerabilidad ZERO-DAY aprovecha un ataque encadenado similar al utilizado en el ataque ProxyShell en 2021, que explotó la combinación de múltiples vulnerabilidades (CVE-2021-34523, CVE-2021-34473 y CVE-2021-31207) para permitir que un actor de amenazas el poder realizar ejecución de código arbitrario de manera remota.

A pesar de la potencial gravedad de los ataques que los utilizan, las vulnerabilidades de ProxyShell todavía están en la lista del CISA, como una de las principales vulnerabilidades explotadas en 2021.

Su puntuación de criticidad del CVSS son las siguientes:

Mitigación: Al momento de realizar esta publicación, Microsoft no ha publicado una actualización para solucionar las dos fallas de seguridad, pero sí ha publicado avisos de seguridad con información sobre el impacto y las condiciones necesarias para la explotación. Además de medidas temporales para evitar la explotación de las vulnerabilidades. Algo que no ha servido de mucho, esto es debido a que se ha estado encontrando diferentes formas de bypassear las recomendaciones de seguridad.

Referencias:

3) Zimbra Collaboration Suite (ZCS)

Descripción: CVE-2022-41352, esta falla permite finalmente plantar una shell en la plataforma, logrando que el actor de amenazas pueda realizar una ejecución remota de código (RCE) y permitiendo a los atacantes causar estragos en un sistema vulnerable. La falla de seguridad fue reportada a fines de septiembre del presente año, y cuya puntuación CVSS es de 9.8/10.

Para lanzar un ataque exitoso, el actor de amenazas tendría que enviar por correo electrónico, un archivo .cpio, .tar o .rpm a un servidor vulnerable. Amavis luego escanearía el mensaje en busca de malware y usaría la utilidad de archivo .cpio para extraer su contenido.

Sin embargo, existe una «laguna» en la que los atacantes podrían aprovechar el .cpio para escribir en una carpeta de destino, o como dice Rapid7, «escribir en cualquier ruta en el sistema de archivos a la que el usuario de Zimbra pueda acceder«.

Mitigación: Zimbra ha reconocido la vulnerabilidad y el día de ayer ha lazando una ronda de parches de seguridad para mitigar esta y otras fallas de seguridad, más información en la Wiki de Security Center de la empresa.

Referencias:

4) VM2 Javascript Sandbox

Descripción: Los investigadores de la empresa Oxeye, descubrieron una vulnerabilidad crítica en vm2, rastreado como CVE-2022-36067, que ha recibido la puntuación máxima de la escala CVSS de 10/10. Esta vulnerabilidad se le ha dado el nombre de «SandBreak«, y se requiere que los líderes de I + D, los ingenieros de desarrollo seguro y los profesionales de seguridad, se aseguren de parchear inmediatamente el sandbox vm2 sí es que son usados dentro de sus espacios de trabajos.

La vulnerabilidad se reveló a los propietarios del proyecto y se parcheó rápidamente en la versión 3.9.11. GitHub emitió el aviso de seguridad para esta vulnerabilidad y le dio una puntuación CVSS de 10/10.

«Nos sorprendimos cuando descubrimos esta vulnerabilidad, ya que el módulo sandbox vm2 es extremadamente popular, y los sandboxs por su definición deberían ser seguros. Al mismo tiempo, también nos alegramos de haberlo encontrado, ya que podríamos ayudar a asegurarlo y retribuir a la comunidad. Después de todo, no solo somos investigadores y entusiastas de la seguridad, sino también desarrolladores que usan componentes de código abierto«, dijo Dean Agron, CEO de Oxeye, a Help Net Security.

Sí un actor de amenazas aprovecha esta vulnerabilidad, podrá omitir el entorno de espacio aislado de vm2 y ejecutar comandos vía shell en la máquina que lo aloja.

Mitigación: Se recomienda a todas las organizaciones que trabajen con el proyecto vm2, el aplicar el parche de seguridad lo más pronto posible.

Referencias:

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required