Tres nuevos avisos de seguridad
Índice
- Vulnerabilidad 0day de ejecución de código remoto en FortiManager de Fortinet
- Vulnerabilidad Cross-Site Scripting (XSS) en Janto de Impronta
- Múltiples vulnerabilidades en productos de Cisco
Vulnerabilidad 0day de ejecución de código remoto en FortiManager de Fortinet
- FortiManager, versiones:
- 7.6.0;
- desde 7.4.0 hasta 7.4.4;
- desde 7.2.0 hasta 7.2.7;
- desde 7.0.0 hasta 7.0.12;
- desde 6.4.0 hasta 6.4.14;
- desde 6.2.0 hasta 6.2.12.
- FortiManager Cloud, versiones:
- desde 7.4.1 hasta 7.4.4;
- desde 7.2.1 hasta 7.2.7;
- desde 7.0.1 hasta 7.0.12;
- todas las versiones 6.4.
- Modelos antiguos de FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E que tengan habilitada la siguiente configuración y, al menos, una interfaz con el servicio fgfm habilitado:
config system global set fmg-status enable end
Fortinet ha hecho pública una vulnerabilidad crítica que afecta al producto FortiManager denominada 'FortiJump'. La explotación de esta vulnerabilidad podría permitir a un atacante, remoto y no autenticado, ejecutar código.
El fabricante informa de la constancia de explotación activa de esta vulnerabilidad, además de aportar información de IoC en su propio aviso, que puede consultarse en las referencias.
Actualizar FortiManager a las siguientes versiones o superiores:
- FortiManager, versiones:
- 7.6.1;
- 7.4.5;
- 7.2.8;
- 7.0.13;
- 6.4.15;
- 6.2.13.
- FortiManager Cloud, versiones:
- 7.4.5;
- 7.2.8;
- 7.0.13;
- para la versión 6.4, migrar a una versión correctora.
En caso de no poder actualizar a las versiones correctoras, aplicar las medidas de workaround incluidas por el fabricante en su aviso.
La vulnerabilidad se origina debido a la falta de autenticación para una función crítica en el servicio fgfmd de FortiManager que podría permitir a un atacante remoto, no autenticado, ejecutar código o comandos arbitrarios a través de solicitudes maliciosas. Se ha asignado el identificador CVE-2024-47575 para esta vulnerabilidad.
Vulnerabilidad Cross-Site Scripting (XSS) en Janto de Impronta
Janto, versión 4.3r11.
INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad media que afecta a Janto v4.3r11, una plataforma para la venta de entradas, la cual ha sido descubierta por 6h4ack.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-10332: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N. | CWE-79.
La vulnerabilidad ha sido solucionada por el equipo de Impronta en la versión r12.
CVE-2024-10332: se ha encontrado una vulnerabilidad Cross-Site Scripting reflejado en Janto v4.3r11 de Impronta. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando el endpoint "/abonados/public/janto/main.php".
Múltiples vulnerabilidades en productos de Cisco
- Las versiones comprendidas entre la 7.1 y la 7.4 con una Base de Datos de Vulnerabilidades (VDB) versión 387 o anterior de las líneas de productos Firepower Threat Defense (FTD) 1000, 2100, 3100 y 4200. Los dispositivos que se actualizaron desde una versión del software Cisco FTD anterior a la versión 7.1, a la versión 7.1 o posterior, no se ven afectados.
- Para los productos Firewall Management Center y Adaptive Security Appliance no se han especificado las versiones afectadas.
Cisco ha publicado su boletín de avisos de seguridad para los productos Firepower Threat Defense, Firewall Management Center y Adaptive Security Appliance, que incluyen tres vulnerabilidades críticas, que de ser explotadas permitirían a un atacante local no autenticado acceder a un sistema afectado utilizando credenciales estáticas o a un atacante remoto autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente como root. Además, podrían permitir a un atacante autenticado y remoto ejecutar comandos del sistema operativo como root.
- Para los productos Firepower Threat Defense, Firewall Management Center y Adaptive Security Appliance, se recomienda mantener los productos actualizados a la última versión disponible. De no ser así, se puede comprobar si la versión empleada está afectada mediante Cisco Software Checker.
- En el caso de Firepower Threat Defense, si no es posible aplicar la actualización ya que esto provocaría un reinicio en el sistema es posible instalar la versión 388 o posterior de VDB en los dispositivos afectados. Esta versión de VDB resolverá la vulnerabilidad.
- Debido a cuentas estáticas con contraseñas cifradas en el sistema afectado, un atacante podría iniciar sesión en la CLI accediendo a información sensible, modificar opciones de configuración o inutilizar el sistema operativo, necesitando una nueva imagen.
- Debido a una validación insuficiente en la entrada de peticiones HTTP específicas, un atacante puede autenticarse en la interfaz de gestión basada en web de un dispositivo afectado y enviando, a continuación, una solicitud HTTP manipulada al dispositivo. Esto podría permitir al atacante ejecutar comandos específicos con permisos de root en el sistema operativo subyacente del dispositivo FMC o ejecutar comandos en dispositivos gestionados con FTD. Para explotar esta vulnerabilidad, el atacante necesitaría credenciales válidas para una cuenta de usuario con al menos el rol de Security Analyst (Read Only).
- Debido a una validación insuficiente en la entrada del usuario, un atacante puede mandar datos falsificados para ejecutar comandos de forma remota en la CLI a través de SSH. Esto podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de nivel root. Un atacante con privilegios de usuario limitados podría utilizar esta vulnerabilidad para obtener el control total del sistema.
Se han asignado los identificadores CVE-2024-20412, CVE-2024-20424 y CVE-2024-20439 respectivamente para estas vulnerabilidades críticas.