Vulnerabilidad crítica en Oracle Solaris explotada en la naturaleza

06 Noviembre 2020
Crítico

FireEye Mandiant ha publicado información detallada sobre una vulnerabilidad de Oracle Solaris que ha sido aprovechada en ataques por un actor de amenazas sofisticado.

Rastreada como CVE-2020-14871, la vulnerabilidad se identificó en junio pero solo se lanzó un parche como parte de la actualización del parche crítico de octubre de 2020 de Oracle. Esta vulnerabilidad se viene a sumar a las alertas de seguridad explotadas que hemos reportado en el mes de octubre en anteriores boletines como CVE-2020-14750 y CVE-2020-14882.

PAM (Pluggable Authentication Modules)

PAM es un componente de autenticación dinámica que se integró en Solaris en 1997 como parte de Solaris 2.6. 

CVE-2020-14871

Es una vulnerabilidad crítica de desbordamiento de búfer basada en la pila de autenticación previa en el módulo de autenticación conectable (PAM) en Oracle Solaris.

La vulnerabilidad existe en la función “ parse_user_name “ de la biblioteca PAM debido a la validación de entrada incorrecta de un nombre de usuario que excede una cierta longitud (512 bytes). Un atacante remoto no autenticado podría aprovechar la vulnerabilidad al intentar iniciar sesión en un servidor Solaris vulnerable a través de Secure Shell (SSH) keyboard-interactive authentication, un método de autenticación de paso que admite PAM. 

Usando una solicitud especialmente diseñada que contiene un nombre de usuario que excede los 512 bytes el atacante podría pasar una entrada ilimitada a la función “parse_user_name” de PAM después de forzar la autenticación interactiva del teclado para solicitar un nombre de usuario.

Determinar si el servidor remoto es vulnerable o no es tan simple como mirar la respuesta del servidor a esta solicitud. Si el servidor devuelve un mensaje de "Error de autenticación", el servidor es vulnerable. Si el servidor continúa proporcionando el mensaje de nombre de usuario, el servidor no es vulnerable.

La vulnerabilidad recibió una puntuación CVSSv3 de 10.0, la cual es la máxima puntuación posible. 

Prueba de concepto

Un investigador de seguridad que se conoce por el seudónimo de Hacker Fantastic ha publicado un exploit de prueba de concepto (PoC) para CVE-2020-14871 en su página de GitHub .

Solución

CVE-2020-14871 se abordó en la actualización de parche crítico (CPU) trimestral de Oracle en octubre. La siguiente tabla enumera las versiones afectadas y la disponibilidad de actualizaciones de seguridad.

 

Desde octubre de 2014 Oracle Solaris 9 ya no recibe soporte extendido . Se recomienda a los clientes de Oracle Solaris 9 que actualicen a una versión compatible lo antes posible.

Si la actualización no es factible en este momento, FireEye recomienda modificar el archivo sshd_config y configurar las opciones ChallengeResponseAuthentication y KbdInteractiveAuthentication en no. Esto limitará el vector de ataque actual. Esta mitigación sólo debe aplicarse de manera temporal hasta que la actualización sea factible.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Parche #Oracle #Actualización #CVE-2020-14871 #parse #PAM


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.