Se detectan vulnerabilidades en servidores Web y de Aplicaciones

03 Abril 2020
Alto

A través de investigaciones realizadas las últimas semanas y basándonos en información obtenida de nuestras fuentes de información confiable, se ha logrado evidenciar múltiples vulnerabilidades que están haciendo eco sobre servidores de aplicaciones web como Apache y Nginx, algunas de ellas son las siguientes:

CVE-2020-5863 en NGINX

La vulnerabilidad muestra que un ciberdelincuente no autenticado con acceso de red a la API de “Controller” puede proceder a la creación de cuentas de usuarios sin privilegios, lo que únicamente le permite al atacante la carga de una nueva licencia en el sistema, pero no podrá ver ni modificar ningún otro módulo del mismo.

CVE-2020-1934 en APACHE

La vulnerabilidad afecta una función del componente mod_proxy_ftp, la misma fue publicada el 01/04/2020, el aviso de esta fue notificado y compartido en la página web de Apache. Esta vulnerabilidad permite que el ataque se pueda lanzar de forma remota y para la explotación no se necesita ninguna forma de autenticación. Ni los detalles técnicos ni un exploit están disponibles públicamente. El precio de un exploit podría estar alrededor de USD $ 25k- $ 100k en este momento (estimación calculada el 04/02/2020).

Esta vulnerabilidad se encuentra bajo análisis por lo que no hay información sobre posibles contramedidas conocidas. Se puede sugerir reemplazar el objeto afectado con un producto alternativo.

CVE-2018-11802 APACHE SOLR (update)

Llamada vulnerabilidad de omisión de autorización, esta indica que la implementación en cluster en Apache Solr, puede dividirse en varias colecciones pero solo un subconjunto de los nodo almacena una colección determinada, sin embargo, si un nodo recibe una solicitud de una colección que no aloja, este hace un envío de la solicitud a un nodo relevante y sirve la solicitud, lo que da como resultado que Solr omita todas las configuraciones de autorización para tales solicitudes. Esto afecta a todas las versiones de Solr anteriores a la 7.7 que utilizan el mecanismo de autorización predeterminado de Solr (RuleBasedAuthorizationPlugin).

CVE-2018-1312 APACHE (update)

La vulnerabilidad permite a un atacante remoto reproducir las solicitudes HTTP en un servidor sin ser detectado, esta es explotada cuando es ejecutado el módulo “mod_auth_digest”, la misma, muestra que al ser generado un desafío de autenticación HTTP Digest, el nonce enviado para evitar los ataques de respuesta no se genera correctamente utilizando una semilla pseudoaleatoria.

Cabe destacar que según información obtenida de fuentes de inteligencia, hay indicios que esta vulnerabilidad está en el top de las más buscadas en Chile, por lo tanto la misma pudiera estar siendo analizada para actividades que puedan comprometer la integridad de los sistemas basados en tecnología Apache HTTP, sin embargo, hasta la fecha no hay indicios de exploits desarrollados. Esta afecta parcialmente a la integridad, la confidencialidad y la disponibilidad del sistema.

Adicional a lo anterior esta vulnerabilidad se encuentra nuevamente bajo análisis, por lo que pueden ocurrir cambios en la información publicada sobre la misma.

CVE-2020-1927 APACHE

La vulnerabilidad afecta versiones de Apache HTTP Server desde la 2.4.0 a 2.4.41, la misma muestra que los redireccionamientos configurados con el módulo “mod_rewrite” que pretendan ser autorreferenciales pueden ser engañados mediante líneas codificadas permitiendo que las mismas sean redirigidas a una URL inesperada dentro de la URL de solicitud.

A la fecha esta vulnerabilidad se encuentra bajo análisis, por lo que se recomienda hacer seguimiento de la misma ya que la información referente a la misma no ha sido publicada por completo.

CVE-2020-4303 Websphere Application Server

La vulnerabilidad permite a un atacante insertar código JavaScript en el módulo de interfaz de usuario web, alterando así la funcionalidad prevista que puede conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 176668.

Se recomienda lo siguiente:

  • Instalar lo antes posible la última actualización disponible por el fabricante en su página web.
  • Para aquellas en proceso de análisis deberán actualizar vulnerabilidad aplicando el parcheado correspondiente cuando se lance.

El listado de las CVE se adjunta a continuación:


Tags: #Servidores #Apache #http #service #nginx #Websphere #Application #Server


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.