Vulnerabilidades

El estándar IEEE P1735 describe métodos con errores para cifrar propiedad intelectual electrónica (IP), así como la gestión de los derechos de acceso a esa IP, incluyendo la modificación de Rights Block para eliminar o relajar los requisitos de licencia. Los métodos tienen errores y, en el peor de los casos, habilita vectores de ataque que permiten la recuperación de toda la IP subyacente en texto plano. Las implementaciones de IEEE P1735 podrían ser débiles a ataques criptográficos que permiten que un atacante obtenga propiedad intelectual en texto plano sin la clave, entre otros impactos.

El procesamiento de mensajes SOAP mal formados al realizar la acción de inicio de sesión HNAP provoca un desbordamiento de búfer en la pila en algunos routers D-Link DIR. Los campos XML vulnerables en el cuerpo SOAP son: Action, Username, LoginPassword y Captcha. Los siguientes productos se han visto afectados: DIR-823, DIR-822, DIR-818L(W), DIR-895L, DIR-890L, DIR-885L, DIR-880L, DIR-868L y DIR-850L.

Los dispositivos Android con código de Ragentek contienen un binario privilegiado que realiza comprobaciones de actualizaciones OTA (over-the-air). Además, hay múltiples técnicas en uso para ocultar la ejecución de este binario. El comportamiento podría describirse como rootkit. Este binario, que reside como /system/bin/debugs, se ejecuta con privilegios root y no se comunica mediante un canal cifrado. Se ha mostrado que el binario se comunica con tres hosts mediante HTTP: oyag[.]lhzbdvm[.]com, oyag[.]prugskh[.]net y oyag[.]prugskh[.]com. Las respuestas del servidor a las peticiones enviadas por el binario debugs incluyen funcionalidades para ejecutar comandos arbitrarios como root, instalar aplicaciones o actualizar configuraciones. Ejemplos de una petición enviada por el binario del cliente: POST /pagt/agent?data={"name":"c_regist","details":{...}} HTTP/1. 1 Host: 114.80.68.223 Connection: Close Un ejemplo de respuesta del servidor podría ser: HTTP/1.1 200 OK {"code": "01", "name": "push_commands", "details": {"server_id": "1" , "title": "Test Command", "comments": "Test", "commands": "touch /tmp/test"}} Se ha informado que este binario está presente en los siguientes dispositivos: BLU Studio G, BLU Studio G Plus, BLU Studio 6.0 HD, BLU Studio X, BLU Studio X Plus, BLU Studio C HD, Infinix Hot X507, Infinix Hot 2 X510, Infinix Zero X506, Infinix Zero 2 X509, DOOGEE Voyager 2 DG310, LEAGOO Lead 5, LEAGOO Lead 6, LEAGOO Lead 3i, LEAGOO Lead 2S, LEAGOO Alfa 6, IKU Colorful K45i, Beeline Pro 2 y XOLO Cube 5.0.

El plugin Imagely NextGen Gallery para Wordpress en versiones anteriores a la 2.1.57 no valida correctamente las entradas de usuario en el parámetro cssfile de una petición HTTP POST. Esto podría permitir que un usuario autenticado lea archivos arbitrarios del servidor o ejecute código arbitrario en el servidor en algunas circunstancias (depende de la configuración del servidor).

El parámetro valueAsString en la carga útil JSON contenida por el parámetro POST ucLogin_txtLoginId_ClientStat del software Sungard eTRAKiT3 3.2.1.17 no está validado correctamente. Un atacante remoto no autenticado podría ser capaz de modificar la petición POST e insertar una consulta SQL, que podría ser entonces ejecutada por el servidor backend. eTRAKiT 3.2.1.17 se ha probado, pero otras versiones podrían ser también vulnerables.

Resident Download Manager, de SHDesigns, proporciona capacidades de actualización de firmware para las placas de CPU Rabbit 2000/3000 que, según el informante, podría emplearse en algunas aplicaciones de control industrial y embebidas. Resident Download Manager no verifica que el firmware sea auténtico antes de ejecutar código e implementar el firmware4 en los dispositivos. Un atacante remoto que pueda enviar tráfico UDP al dispositivo podría ser capaz de ejecutar código arbitrario en el dispositivo. Según el sitio web de SHDesigns, Resident Download Manager y otras herramientas de Rabbit han estado descontinuadas desde junio de 2011.

CodeLathe FileCloud, en versiones 13.0.0.32841 y anteriores, contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) global. Un atacante puede realizar acciones con los mismos permisos que los del usuario víctima, siempre que la víctima tenga una sesión activa y sea inducida a desencadenar la petición maliciosa.

El código generado por PHP FormMail Generator podría permitir que un usuario remoto no autenticado omita la autenticación para acceder al panel de administrador navegando directamente al panel /admin.php?mod=adminfunc=panel.

El código PHP generado por PHP FormMail Generator deserializa las entradas no fiables como parte de la función phpfmg_filman_download(). Un atacante remoto no autenticado podría emplear esta vulnerabilidad para inyectar código PHP o emplearla junto con CVE-2016-9484 para realizar ataques de inclusión de archivos locales y obtener archivos desde el servidor.

El código PHP generado no valida los directorios de carpetas de entradas de usuario, lo que permite que un atacante remoto no autenticado realice un salto de directorio y acceda a archivos arbitrarios en el servidor. El sitio web de PHP FormMail Generator no emplea números de versión y se actualiza constantemente. Cualquier código de formulario PHP generado por este sitio web anterior al 2016-12-06 podría ser vulnerable.

En los endpoints de Windows, el agente SecureConnector debe ejecutarse bajo la cuenta SYSTEM local u otra cuenta de administrador para habilitar la funcionalidad total del agente. La configuración típica es para que el agente se ejecute como servicio de Windows bajo la cuenta SYSTEM local. El agente SecureConnector ejecuta varios scripts de plugin y ejecutables en el endpoint para recopilar y reportar información sobre el host en la aplicación de gestión de CounterACT. El agente SecureConnector descarga estos scripts y ejecutables cuando los necesita de la aplicación de gestión de CounterACT y los ejecuta en el endpoint. El agente SecureConnector no establece permisos en los objetos de archivo descargados. Esto permite que un usuario malicioso asuma la propiedad de cualquiera de estos archivos y los modifique, independientemente de dónde se guardan los archivos. Estos archivos se ejecutan después bajo privilegios SYSTEM. Un usuario malicioso no privilegiado puede sobrescribir estos archivos ejecutables con código malicioso antes de que los ejecute el agente SecureConnector, lo que provoca que el código malicioso se ejecute bajo la cuenta SYSTEM.

En los endpoints de Windows, el agente SecureConnector debe ejecutarse bajo la cuenta SYSTEM local u otra cuenta de administrador para habilitar la funcionalidad total del agente. La configuración típica es para que el agente se ejecute como servicio de Windows bajo la cuenta SYSTEM local. El agente SecureConnector ejecuta varios scripts de plugin y ejecutables en el endpoint para recopilar y reportar información sobre el host en la aplicación de gestión de CounterACT. El agente SecureConnector descarga estos scripts y ejecutables cuando los necesita de la aplicación de gestión de CounterACT y los ejecuta en el endpoint. Por defecto, estos archivos ejecutables se descargan y ejecutan desde el directorio %TEMP% del usuario que ha iniciado sesión actualmente, a pesar del hecho de que el agente SecureConnector se está ejecutando como SYSTEM. Aparte de los scripts descargados, el agente SecureConnector ejecuta un archivo con privilegios SYSTEM desde el directorio temp del usuario que tiene la sesión iniciada actualmente. Si la convención de nombres del script se puede derivar, lo que es posible colocándolo en un directorio en el que el usuario tiene acceso de lectura, podría ser posible sobrescribir el archivo batch legítimo con otro malicioso antes de que lo ejecute SecureConnector. Es posible cambiar este directorio estableciendo la propiedad de configuración config.script_run_folder.value en el archivo de configuración local.properties en la aplicación de gestión de CounterACT; sin embargo, el archivo batch que se ejecuta no sigue esta propiedad.