d'Economía.net
NEGOCIOS ONLINE

Linode Security Digest del 24 al 30 de julio de 2023


En el resumen de esta semana, discutiremos lo siguiente:

  • Ejecución remota de código del servidor y centro de datos de Atlassian Confluence
  • Ejecución remota de código de Adobe ColdFusion
  • Ejecución remota de código de agente ssh reenviado por OpenSSH
  • AMD “Zenbleed”
CVE-2023-22505 y CVE-2023-22508: Ejecución remota de código del servidor y centro de datos de Atlassian Confluence

Fondo

Confluence, desarrollado por la empresa australiana de software Atlassian, es un wiki corporativo basado en web diseñado para la colaboración y el intercambio de conocimientos dentro de las empresas. Lanzado inicialmente en 2004 y creado con Java, Confluence ha evolucionado hasta convertirse en una plataforma versátil que facilita el trabajo en equipo y los procesos de documentación sin problemas. Con su servidor web Tomcat integrado y su base de datos HSQL, Confluence Standalone ofrece una solución autónoma y, al mismo tiempo, admite otras bases de datos. Atlassian ofrece Confluence como software empresarial, lo que permite a las organizaciones elegir entre implementación local o software como servicio.

Vulnerabilidad

Se han identificado dos vulnerabilidades de ejecución remota de código (RCE) de alta gravedad en Confluence Data Center & Server.

La primera vulnerabilidad, conocida como CVE-2023-22505, se introdujo en la versión 8.0.0. Tiene una puntuación CVSS de 8, según la evaluación de Confluence, lo que permite a un atacante autenticado ejecutar código arbitrario. Esta vulnerabilidad plantea un alto riesgo para la confidencialidad, la integridad y la disponibilidad, lo que la convierte en una preocupación crítica. Además, el atacante puede aprovechar esta falla sin requerir ninguna interacción del usuario.

La segunda vulnerabilidad, denominada CVE-2023-22508, se introdujo en la versión 6.1.0. Con una puntuación CVSS de 8,5 según la valoración de Confluence, comparte características similares con el anterior. Un atacante autenticado puede ejecutar código arbitrario sin interacción del usuario con un alto impacto en la confidencialidad, integridad y disponibilidad.

Mitigación

CVE-2023-22505:

  • Actualice su instancia a la última versión de Confluence Data Center & Server.
  • Si no puede actualizar a la última versión, actualice a una de las versiones fijas, específicamente 8.3.2 o 8.4.0.

CVE-2023-22508:

  • Actualice su instancia a una versión de funciones de Confluence igual o superior a 8.2.0 (p. ej., 8.2, 8.2, 8.4, etc.).
  • Alternativamente, actualice a una versión de corrección de errores de Confluence 7.19 LTS igual o superior a 7.19.8 (p. ej., 7.19.8, 7.19.9, 7.19.10, 7.19.11, etc.) o una versión de corrección de errores de Confluence 7.13 LTS igual o mayor que 7.13.20 (lanzamiento disponible a principios de agosto).
CVE-2023-38205: Omisión del control de acceso de Adobe ColdFusion

Fondo

Adobe ColdFusion es una plataforma versátil de desarrollo de aplicaciones web basada en Java. Permite a los desarrolladores crear aplicaciones web dinámicas y basadas en datos integrando perfectamente la lógica del lado del servidor y las interacciones de bases de datos en páginas web utilizando ColdFusion Markup Language (CFML) mezclado con HTML.

Vulnerabilidad

Esta vulnerabilidad, rastreada como CVE-2023-38205, es una omisión de parche para corregir una vulnerabilidad previamente parcheada, CVE-2023-29298, abordada en el Boletín de seguridad de Adobe. El parche inicial lanzado el 11 de julio de 2023 para CVE-2023-29298 no solucionó con éxito el problema y un atacante pudo evitarlo. Según Rapid7, la solución para la vulnerabilidad era correcta al abordar una URL válida, pero aún podía omitirse proporcionando una URL no válida que aún así omitiría la solución y aún permitiría el acceso al punto final esperado sin una ruta URL válida.

Las siguientes versiones de ColdFusion son vulnerables:

  • Adobe ColdFusion 2023 Actualización 2 y versiones anteriores
  • Adobe ColdFusion 2021 Actualización 8 y versiones anteriores
  • Adobe ColdFusion 2018 Actualización 18 y versiones anteriores

Mitigación

Adobe lanzó un parche para mitigar esta vulnerabilidad el 19 de julio de 2023 en este aviso. Los parches son los siguientes:

  • Actualización 3 para ColdFusion 2023
  • Actualización 9 para ColdFusion 2021
  • Actualización 19 para ColdFusion 2018
CVE-2023-38408: Ejecución remota de código en el ssh-agent reenviado de OpenSSH

Fondo

El agente ssh reenviado de OpenSSH es una funcionalidad que permite a los usuarios reenviar de forma segura su agente ssh de una máquina a otra durante las conexiones SSH. El agente ssh administra claves privadas para la autenticación de clave pública SSH. A través del reenvío de agentes, el agente ssh local del usuario se puede utilizar para autenticar conexiones a máquinas remotas, eliminando la necesidad de almacenar claves privadas en esos sistemas.

Vulnerabilidad

Según el aviso publicado por investigadores de Qualys, cualquiera que inicie sesión en un host controlado por el atacante utilizando el reenvío de agente ssh puede potencialmente exponerse a la ejecución remota de código por parte del atacante en la máquina (host base) desde la que inició sesión. host controlado por el atacante.

La vulnerabilidad surge del manejo que hace el agente OpenSSH de las bibliotecas compartidas reenviadas en el host remoto. Cuando el agente ssh de un host base se compila con el indicador ENABLE_PKCS11, que es el predeterminado, el host remoto puede cargar (dlopen()) y descargar inmediatamente (dlclose()) cualquier biblioteca compartida en /usr/lib/* de la base. anfitrión. Sin embargo, este comportamiento no funciona bien con muchas bibliotecas compartidas, lo que puede tener efectos secundarios no deseados. Al encadenar dichos efectos secundarios, los investigadores podrían lograr la ejecución remota de código en el host base. Sin embargo, el alcance de los investigadores se limitó a Ubuntu Desktop 22.04 y 21.10.

Mitigación

  • Utilice una versión actualizada de la biblioteca OpenSSH: 9.3p2
  • La explotación de la vulnerabilidad se puede evitar no utilizando la opción de reenvío ssh-agent para conectarse a los hosts en los que el usuario no confía.
CVE-2023-20593: Fuga de información entre procesos, también conocida como “Zenbleed”

El 24 de julio de 2023, AMD reveló una vulnerabilidad de seguridad (CVE-2023-20593) que afectó a un subconjunto de hosts de computación en la nube de Akamai que ejecutaban CPU EPYC “Rome”. Encuentre más información en nuestra reciente publicación de blog sobre Zenbleed.



Linode News & Updates – Blog | Akamai

Comments

comments

RELACIONADOS