Un nuevo aviso de seguridad y una actualización
[Actualización 07/08/2024] regreSSHion: vulnerabilidad RCE en servidor OpenSSH
Versiones de OpenSSH afectadas por esta vulnerabilidad:
- anteriores a 4.4p1, a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109;
- desde 4.4p1 hasta la anterior a 8.5p1, no son vulnerables debido a un parche aplicado para CVE-2006-5051;
- desde 8.5p1 hasta la anterior a 9.8p1.
Los sistemas OpenBSD no están afectados.
[Actualización 01/08/2024]
Productos afectados de Red Lion Europe:
- mbCONNECT24 y mymbCONNECT24: versiones anteriores a 2.16.1.
- mbNET y mbNET.rokey: versión 8.0.0 y anteriores a 8.2.0.
Productos afectados de Helmholz:
- myREX24 V2 y myREX24 V2 virtual: versiones anteriores a 2.16.1.
- REX200 y REX250: versión 8.0.0 y anteriores a 8.2.0.
[Actualización 05/08/2024]
Productos afectados de Moxa:
- EDR-8010 Series y EDR-G9010 Series, versiones de frimware 3.6 y anteriores.
- OnCell G4302-LTE4 Series, versiones de frimware 3.9 y anteriores.
[Actualización 07/08/2024]
Productos afectados en Redes HPE Aruba:
- Núcleo móvil HPE Athonet, versiones 1.24.1.1 y anteriores y 1.23.4.2 y anteriores.
- HPE Athonet IMS, versiones 1.24.1.1 y anteriores.
El equipo de Qualys Threat Research Unit (TRU) ha descubierto una vulnerabilidad que posibilitaría la ejecución remota de código, no autenticado (RCE), con privilegios de root en el servidor de OpenSSH (sshd) que afecta en sistemas Linux basados en glibc, y a la que se ha denominado con el alias regreSSHion.
- Actualizar OpenSSH a la versión 9.8p1.
- Limitar el acceso SSH a través de controles basados en red para minimizar los riesgos de ataque.
- Segmentar las redes para restringir el acceso no autorizado y los movimientos laterales.
- Aplicar las medidas de mitigación descritas en el aviso de Red Hat (enlazado en las referencias).
[Actualización 01/08/2024]
Para productos afectados de Red Lion Europe actualizar el firmware:
- 2.16.1 para mbCONNECT24/mymbCONNECT24.
- 8.2.0 para mbNET/mbNET.rokey.
Para productos afectados de Helmholz actualizar el firmware:
- 2.16.1 para myREX24 V2/myREX24 V2 virtual.
- 8.2.0 para REX200/REX250.
[Actualización 05/08/2024]
Para los productos Moxa afectados, actualizar el firmware de todos ellos a la versión 3.12 (consultar enlaces de descarga en aviso del fabricante).
[Actualización 07/08/2024]
Actualizar el software a la siguiente versión:
- Núcleo móvil HPE Athonet: 1.24.1.2 y superiores y 1.23.4.3 y superiores
- HPE Athonet IMS: 1.24.1.2 y superiores
La vulnerabilidad identificada por Qualys TRU es una regresión de otra vulnerabilidad previamente solucionada (CVE-2006-5051) y que fue introducida en octubre del 2020 (OpenSSH 8.5p1).
Esta vulnerabilidad regreSSHion podría conllevar un compromiso total del sistema afectado, permitiendo al atacante ejecutar código arbitrario con privilegios de root, otorgando la posibilidad de instalar malware, modificar datos y crear backdoors para acceso persistente. Además, podría permitir a un atacante utilizar un sistema comprometido para realizar pivoting y explotar otros sistemas vulnerables dentro de la misma red.
Esta vulnerabilidad es difícil de explotar debido a su naturaleza de condición de carrera remota, que requiere múltiples intentos para un ataque exitoso, de hecho, el fabricante afectado establece que el ataque requiere de una media de 6-8 horas de conexiones continuas hasta el máximo que el servidor acepte.
Se ha asignado el identificador CVE-2024-6387 para esta vulnerabilidad.
[Actualización 07/08/2024]
Se ha descubierto una regresión de seguridad de (CVE-2006-5051) en el servidor de OpenSSH (sshd). Existe una condición de carrera que puede provocar que sshd de OpenSSH maneje algunas señales de manera insegura. Un atacante remoto no autenticado podría ser capaz de desencadenar esta condición vulnerable al no autenticarse dentro de un tiempo determinado.
Boletín de seguridad de Android: agosto de 2024
- Android Open Source Project (AOSP): versiones 12, 12L, 13 y 14.
- Componentes de Arm, MediaTek, Imagination Technologies y Qualcomm.
El boletín de Android, relativo a agosto de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una ejecución remota de código.
En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.
En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.
Esta vulnerabilidad crítica podría conllevar la denegación de servicio permanente cuando el transporte DL NAS recibe varias cargas útiles, una de las cuales contiene un contenedor SOR cuya comprobación de integridad ha fallado, y la otra es un LPP en el que el equipo debe enviar un mensaje de estado a la red. Se ha asignado el identificador CVE-2024-23350 para esta vulnerabilidad.
Adicionalmente, en el kernel de Linux, se ha corregido una vulnerabilidad de severidad alta y tipo RCE que se encontraba en explotación activa. Se ha asignado el identificador CVE-2024-36971 para esta vulnerabilidad.
El resto de identificadores CVE pueden consultarse en las referencias.