Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades RCE en productos de Cleo
  • Actualizaciones de seguridad de Microsoft de diciembre de 2024
  • Múltiples vulnerabilidades en productos Ivanti

Múltiples vulnerabilidades RCE en productos de Cleo

Fecha11/12/2024
Importancia5 - Crítica
Recursos Afectados

La vulnerabilidad CVE-2024-50623 reportada inicialmente por Cleo afecta a las versiones anteriores de 5.8.0.21 para los productos:

  • Harmony,
  • VLTrader,
  • LexiCom.

Por otro lado, la vulnerabilidad detectada en la investigación de Huntress afecta a las versiones 5.8.0.21 y anteriores de esos mismos productos.

Descripción

Huntress ha publicado una investigación sobre la explotación activa de una vulnerabilidad de ejecución remota de código (RCE) que afecta a varios productos de Cleo empleados para la transferencia de archivos. En dicha investigación, se menciona que la versión 5.8.0.21 publicada para corregir el fallo CVE-2024-50623 seguía siendo vulnerable y aportan pruebas de que actores de amenazas estaban explotando y realizando actividades postexplotación sobre dicha vulnerabilidad, estando pendiente la asignación de un identificador CVE.

Asimismo, Huntress incluye en su investigación indicadores de compromiso (IoC), prueba de concepto (PoC) y objetivos de explotación.

Solución

La vulnerabilidad CVE-2024-50623 se soluciona actualizando a la versión 5.8.0.21 en los productos:

  • Harmony,
  • VLTrader,
  • LexiCom.

En cuanto a la vulnerabilidad identificada por Huntress, se soluciona actualizando a la versión 5.8.0.23 en estos mismos productos. Asimismo, en dicha investigación se aportan una serie de medidas de mitigación en el apartado How to Stay Protected.

Detalle

Los productos de Cleo mencionados permiten la carga y la descarga de archivos sin restricciones, una situación que podría conducir a la ejecución remota de código (RCE) por parte de un atacante no autenticado. Se ha asignado el identificador CVE-2024-50623 para esta vulnerabilidad.

Adicionalmente, Huntress ha descubierto que la versión correctora para solucionar CVE-2024-50623 no mitiga completamente el fallo en el software afectado, lo que sigue permitiendo a los atacantes ejecutar código remoto en los productos afectados aprovechando una vulnerabilidad de escritura arbitraria de archivos. No se ha asignado identificador CVE para esta vulnerabilidad.

Actualizaciones de seguridad de Microsoft de diciembre de 2024

Fecha11/12/2024
Importancia5 - Crítica
Recursos Afectados
  • System Center Operations Manager
  • Microsoft Office
  • Microsoft Edge (Chromium-based)
  • Microsoft Defender for Endpoint
  • Microsoft Office SharePoint
  • GitHub
  • Microsoft Office Word
  • Microsoft Office Excel
  • Windows Task Scheduler
  • Windows Mobile Broadband 
  • Windows Kernel-Mode Drivers
  • Windows Remote Desktop Services
  • Windows Virtualization-Based Security (VBS) Enclave
  • Microsoft Office Publisher
  • Windows IP Routing Management Snapin
  • Windows Wireless Wide Area Network Service
  • Windows File Explorer
  • Windows Kernel
  • Windows Routing and Remote Access Service (RRAS)
  • Windows Common Log File System Driver
  • Role: DNS Server
  • Windows Resilient File System (ReFS)
  • Windows PrintWorkflowUserSvc
  • Windows Message Queuing
  • Remote Desktop Client
  • WmsRepair Service
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Cloud Files Mini Filter Driver
  • Role: Windows Hyper-V
  • Windows Local Security Authority Subsystem Service (LSASS)
  • Windows Remote Desktop
  • Microsoft Office Access
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 10 de diciembre, consta de 72 vulnerabilidades (con CVE asignado), calificadas 1 como críticas, 51 como altas y 20 medias.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

La vulnerabilidad crítica se debe a un desbordamiento de integer o envultura del mismo en Windows Lightweight Directory Access Protocol (LDAP) lo que podría provocar la ejecución de código en remoto (RCE). Se ha asignado el identificador CVE-2024-49112 para esta vulnerabilidad.

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

Múltiples vulnerabilidades en productos Ivanti

Fecha11/12/2024
Importancia5 - Crítica
Recursos Afectados
  • Ivanti Cloud Services Application (CSA), versiones 5.0.2 y anteriores.
  • Ivanti Desktop and Server Management (DSM), versión 2024.2.
  • Ivanti Connect Secure (ICS), versiones 22.7R2.3 y anteriores.
  • Ivanti Policy Secure (IPS), versiones 22.7R1.1 y anteriores.
  • Ivanti Sentry, versiones:
    • 9.20.1 y anteriores;
    • 10.0.1 y anteriores.
  • Ivanti Endpoint Manager (EPM), versiones:
    • 2024 September Security Update y anteriores;
    • 2022 SU6 y anteriores.
  • Ivanti Security Controls (iSec), versiones 2024.3.2 (9.6.9365.0) y anteriores.
  • Ivanti Patch for Configuration Manager, versiones 2024.3 (2.5.1058) y anteriores.
  • Ivanti Neurons for Patch Management, versiones 2024.3 (1.1.55.0) y anteriores.
  • Ivanti Neurons Agent Platform, versiones 2024.1 (9.6.771) y anteriores.
Descripción

Ivanti ha publicado múltiples avisos que recogen un total de 11 vulnerabilidades, de las cuales 5 tienen severidad crítica y 6 altas. La explotación de estas vulnerabilidades podría permitir a un atacante escalar privilegios, ejecutar código remoto, inyectar SQL, omitir el proceso de autenticación en el dispositivo afectado y eliminar archivos arbitrarios, entre otras acciones.

Solución
  • Ivanti Cloud Services Application (CSA), versión 5.0.3.
  • Ivanti Desktop and Server Management (DSM), versión 2024.3.5740.
  • Ivanti Connect Secure (ICS), versión 22.7R2.4.
  • Ivanti Policy Secure (IPS), versión 22.7R1.2.
  • Ivanti Sentry, versiones:
    • 9.20.2;
    • 10.0.2;
    • 10.1.0.
  • Ivanti Endpoint Manager (EPM), versiones:
    • 2024 November Security Update;
    • 2022 SU6 November Security Update.
  • Ivanti Security Controls (iSec), versión 2024.4 (9.6.9375.0).
  • Ivanti Patch for Configuration Manager, versión 2024.4 (2.5.1129.0).
  • Ivanti Neurons for Patch Management, versión 2024.4 (1.1.67.0).
  • Ivanti Neurons Agent Platform, versión 2024.4 (9.6.839).
Detalle

Las vulnerabilidades críticas se describen a continuación:

  • La inyección de argumentos en Ivanti Connect Secure podría permitir a un atacante remoto, autenticado y con privilegios de administrador, ejecutar código. Se ha asignado el identificador CVE-2024-11633 para esta vulnerabilidad.
  • La inyección de comandos en Ivanti Connect Secure e Ivanti Policy Secure podría permitir a un atacante remoto, autenticado y con privilegios de administrador, ejecutar código. Se ha asignado el identificador CVE-2024-11634 para esta vulnerabilidad.
  • La omisión de autenticación en la consola web de administración de Ivanti CSA podría permitir a un atacante, remoto y no autenticado, obtener acceso administrativo. Se ha asignado el identificador CVE-2024-11639 para esta vulnerabilidad.
  • La inyección de comandos en la consola web de administración de Ivanti CSA podría permitir a un atacante remoto, autenticado y con privilegios de administrador, ejecutar código. Se ha asignado el identificador CVE-2024-11772 para esta vulnerabilidad.
  • La inyección SQL en la consola web de administración de Ivanti CSA podría permitir a un atacante remoto, autenticado y con privilegios de administrador, ejecutar sentencias SQL arbitrarias. Se ha asignado el identificador CVE-2024-11773 para esta vulnerabilidad.

El resto de identificadores CVE de severidad alta pueden consultarse en las referencias.