1) Fortinet FortiOs, FortyProxy y FortiProxySwitchManager
■ Descripción: CVE-2022-40684, corresponde a un bypass de autenticación en FortiOS, FortiProxy y FortiProxySwitchManager que podría permitir a un atacante realizar operaciones no autorizadas en la interfaz de administración (API) a través de solicitudes HTTP especialmente diseñadas. Según el fabricante, esta vulnerabilidad está siendo explotada activamente.
La lista de dispositivos afectados son las siguientes:
- FortiOS versión 7.2.0 a 7.2.1
- FortiOS versión 7.0.0 a 7.0.6
- FortiProxy versión 7.2.0
- FortiProxy versión 7.0.0 a 7.0.6
- FortiSwitchManager versión 7.2.0
- FortiSwitchManager versión 7.0.0
■ Mitigación: Actualizar a la ultima versión disponible y además, deshabilitar o restringir el acceso a la interfaz de administración. Adicionalmente, CronUp recomienda realizar un análisis de seguridad por posibles compromisos anteriores a la implementación del parche o actualización de seguridad.
■ Referencias: Alerta del fabricante e Indicadores de Ataque por Horizon3:
2) Microsoft Exchange Server
■ Descripción: Las nuevas vulnerabilidades para el servicio de Microsoft Exchange Server apodado como «ProxyNotShell«, aprovecha las vulnerabilidades de CVE-2022-41040 de Microsoft server-side request forgery (SSRF) publicada recientemente y una segunda vulnerabilidad, la CVE-2022-41082 que permite la ejecución remota de código (RCE) en la consola de comandos, PowerShell para poder escalar privilegios en el sistema y tener el control del servidor.
Basado en ProxyShell, esta nueva vulnerabilidad ZERO-DAY aprovecha un ataque encadenado similar al utilizado en el ataque ProxyShell en 2021, que explotó la combinación de múltiples vulnerabilidades (CVE-2021-34523, CVE-2021-34473 y CVE-2021-31207) para permitir que un actor de amenazas el poder realizar ejecución de código arbitrario de manera remota.
A pesar de la potencial gravedad de los ataques que los utilizan, las vulnerabilidades de ProxyShell todavía están en la lista del CISA, como una de las principales vulnerabilidades explotadas en 2021.
Su puntuación de criticidad del CVSS son las siguientes:
- CVE-2022-41040 – 8.8/10, vía NIST.
- CVE-2022-41082 – 8.8/10, vía NIST.
■ Mitigación: Al momento de realizar esta publicación, Microsoft no ha publicado una actualización para solucionar las dos fallas de seguridad, pero sí ha publicado avisos de seguridad con información sobre el impacto y las condiciones necesarias para la explotación. Además de medidas temporales para evitar la explotación de las vulnerabilidades. Algo que no ha servido de mucho, esto es debido a que se ha estado encontrando diferentes formas de bypassear las recomendaciones de seguridad.
■ Referencias:
- https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9
- https://www.bleepingcomputer.com/news/security/microsoft-updates-mitigation-for-proxynotshell-exchange-zero-days/
- https://unit42.paloaltonetworks.com/proxynotshell-cve-2022-41040-cve-2022-41082/
3) Zimbra Collaboration Suite (ZCS)
■ Descripción: CVE-2022-41352, esta falla permite finalmente plantar una shell en la plataforma, logrando que el actor de amenazas pueda realizar una ejecución remota de código (RCE) y permitiendo a los atacantes causar estragos en un sistema vulnerable. La falla de seguridad fue reportada a fines de septiembre del presente año, y cuya puntuación CVSS es de 9.8/10.
Para lanzar un ataque exitoso, el actor de amenazas tendría que enviar por correo electrónico, un archivo .cpio, .tar o .rpm a un servidor vulnerable. Amavis luego escanearía el mensaje en busca de malware y usaría la utilidad de archivo .cpio para extraer su contenido.
Sin embargo, existe una «laguna» en la que los atacantes podrían aprovechar el .cpio para escribir en una carpeta de destino, o como dice Rapid7, «escribir en cualquier ruta en el sistema de archivos a la que el usuario de Zimbra pueda acceder«.
■ Mitigación: Zimbra ha reconocido la vulnerabilidad y el día de ayer ha lazando una ronda de parches de seguridad para mitigar esta y otras fallas de seguridad, más información en la Wiki de Security Center de la empresa.
■ Referencias:
- https://nvd.nist.gov/vuln/detail/CVE-2022-41352
- https://wiki.zimbra.com/wiki/Security_Center
- https://portswigger.net/daily-swig/zimbra-remote-code-execution-vulnerability-actively-exploited-in-the-wild
4) VM2 Javascript Sandbox
■ Descripción: Los investigadores de la empresa Oxeye, descubrieron una vulnerabilidad crítica en vm2, rastreado como CVE-2022-36067, que ha recibido la puntuación máxima de la escala CVSS de 10/10. Esta vulnerabilidad se le ha dado el nombre de «SandBreak«, y se requiere que los líderes de I + D, los ingenieros de desarrollo seguro y los profesionales de seguridad, se aseguren de parchear inmediatamente el sandbox vm2 sí es que son usados dentro de sus espacios de trabajos.
La vulnerabilidad se reveló a los propietarios del proyecto y se parcheó rápidamente en la versión 3.9.11. GitHub emitió el aviso de seguridad para esta vulnerabilidad y le dio una puntuación CVSS de 10/10.
«Nos sorprendimos cuando descubrimos esta vulnerabilidad, ya que el módulo sandbox vm2 es extremadamente popular, y los sandboxs por su definición deberían ser seguros. Al mismo tiempo, también nos alegramos de haberlo encontrado, ya que podríamos ayudar a asegurarlo y retribuir a la comunidad. Después de todo, no solo somos investigadores y entusiastas de la seguridad, sino también desarrolladores que usan componentes de código abierto«, dijo Dean Agron, CEO de Oxeye, a Help Net Security.
Sí un actor de amenazas aprovecha esta vulnerabilidad, podrá omitir el entorno de espacio aislado de vm2 y ejecutar comandos vía shell en la máquina que lo aloja.
■ Mitigación: Se recomienda a todas las organizaciones que trabajen con el proyecto vm2, el aplicar el parche de seguridad lo más pronto posible.
■ Referencias:
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
