Instituto Nacional de ciberseguridad. Sección Incibe

Seis nuevos avisos de seguridad

Índice

  • Ejecución remota de código en el servidor de Wazuh
  • Actualizaciones de seguridad de Microsoft de febrero de 2025
  • Múltiples vulnerabilidades en productos de Intel
  • Múltiples vulnerabilidades en nvJPEG2000 de NVIDIA
  • Múltiples vulnerabilidades en productos Ivanti
  • Ausencia de notificación de error en OpenSSL

Ejecución remota de código en el servidor de Wazuh

Fecha12/02/2025
Importancia5 - Crítica
Recursos Afectados

Paquete wazuh-manager: desde la versión 4.4.0 hasta la 4.9.0

Descripción

DanielFi ha reportado una vulnerabilidad de severidad crítica que podría permitir la ejecución remota de código en el servidor de Wazuh a través de usuarios autenticados con acceso a la API o, en determinadas configuraciones, incluso un agente comprometido.

Solución

Actualizar el paquete de wazuh-manager a la versión 4.9.1 o superior.

Detalle

La vulnerabilidad es de tipo deserialización insegura y afecta a los parámetros DistributedAPI. Si un atacante consigue inyectar un diccionario sin depurar en una petición/respuesta DAPI, pueden generar una excepción no controlada que evaluaría código Python arbitrario. Determinadas configuraciones también permiten explotar el bug como un agente comprometido, respondiendo a una petición 'getconfig' con un objeto JSON malicioso. 

Se ha asignado el identificador CVE-2025-24016 para esta vulnerabilidad.


Actualizaciones de seguridad de Microsoft de febrero de 2025

Fecha12/02/2025
Importancia
Recursos Afectados
  • Active Directory Domain Services
  • Azure Network Watcher
  • Microsoft AutoUpdate (MAU)
  • Microsoft Digest Authentication
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge (Chromium-based)
  • Microsoft Edge for iOS and Android
  • Microsoft High Performance Compute Pack (HPC) Linux Node Agent
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft PC Manager
  • Microsoft Streaming Service
  • Microsoft Surface
  • Microsoft Windows
  • Outlook for Android
  • Visual Studio
  • Visual Studio Code
  • Windows Ancillary Function Driver for WinSock
  • Windows CoreMessaging
  • Windows DHCP Client
  • Windows DHCP Server
  • Windows DWM Core Library
  • Windows Disk Cleanup Tool
  • Windows Installer
  • Windows Internet Connection Sharing (ICS)
  • Windows Kerberos
  • Windows Kernel
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Message Queuing
  • Windows NTLM
  • Windows Remote Desktop Services
  • Windows Resilient File System (ReFS) Deduplication Service
  • Windows Routing and Remote Access Service (RRAS)
  • Windows Setup Files Cleanup
  • Windows Storage
  • Windows Telephony Server
  • Windows Telephony Service
  • Windows Update Stack
  • Windows Win32 Kernel Subsystem
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 11 de febrero, consta de 63 vulnerabilidades (con CVE asignado), calificadas 1 como crítica, 45 como altas, 16 como medias y 1 como baja.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

La vulnerabilidad de severidad crítica publicada tiene asignado el siguiente identificador y descripción:

  • CVE-2025-21198: ejecución remota de código en Microsoft High Performance Compute (HPC) Pack.

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.


Múltiples vulnerabilidades en productos de Intel

Fecha12/02/2025
Importancia5 - Crítica
Recursos Afectados
  • Intel® Server Board S2600WF, S2600ST y S2600BP Family: versiones anteriores a 02.01.0017;
  • Intel® Server Board M70KLP Family: versiones anteriores a 4.16;
  • Intel® Server M20NTP Family: versiones anteriores a 0027.D02;
  • Intel® Server Board M10JNP Family: versiones anteriores a 7.220;
  • Intel® Server Board M50CYP y D50TNP Family: versiones anteriores a R01.01.0009;
  • Intel® Server M50FCP y Board D50DNP Family: versiones anteriores a R01.02.0002.
Descripción

Intel ha publicado 5 vulnerabilidades: una de severidad crítica, otra de severidad alta y tres de severidad media que afectan a diferentes placas base de Intel y que, de ser explotadas, podrían permitir una escalada de privilegios, una denegación de servicios o divulgación de información.

Solución

Actualizar la BIOS del sistema a las versiones indicadas:

  • Intel® Server Board S2600WF, S2600ST y S2600BP Family: versiones 02.01.0017;
  • Intel® Server Board M70KLP Family: versiones 4.16;
  • Intel® Server M20NTP Family: versiones 0027.D02;
  • Intel® Server Board M10JNP Family: versiones 7.220;
  • Intel® Server Board M50CYP y D50TNP Family: versiones R01.01.0009;
  • Intel® Server M50FCP y Board D50DNP Family: versiones R01.02.0002.

Para más información se puede consultar el aviso oficial enlazado en la sección de referencias.

Detalle

La vulnerabilidad de severidad crítica es debida a un control de acceso inadecuado en el firmware AMI BMC para Intel® Server Board M70KLP, Intel® Server M20NTP e Intel® Server Board M10JNP. La explotación de esta vulnerabilidad podría permitir que un usuario, no autenticado y con acceso a la red, realice una escalada de privilegios. Se ha asignado el identificador CVE-2023-25191 para esta vulnerabilidad.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2023-31276.


Múltiples vulnerabilidades en nvJPEG2000 de NVIDIA

Fecha12/02/2025
Importancia5 - Crítica
Recursos Afectados
  • NVIDIA nvJPEG2000, versiones 0.8.0 y anteriores.
Descripción

Dimitrios Tatsis ha reportado 4 vulnerabilidades de severidad crítica, que afectan a la librería nvJPEG2000, y cuya explotación podría permitir a un atacante provocar una corrupción de memoria, ejecutar código arbitrario, provocar una escritura fuera de los límites establecidos o realizar una sobreescritura de la memoria.

Solución

NVIDIA ha solucionado la vulnerabilidad reportada en las versiones 0.8.1 y posteriores.

Detalle
  • Vulnerabilidad de desbordamiento de búfer en la forma en que se utiliza el parámetro "Ndecomp" al analizar archivos JPEG2000, cuya explotación podría permitir a un atacante provocar una corrupción de memoria y ejecutar código arbitrario proporcionando archivos JPEG2000 especialmente diseñados. Se ha asignado el identificador CVE-2024-0145 para esta vulnerabilidad.
  • Vulnerabilidad de corrupción de memoria en el manejo de los componentes de estilo de codificación de la librería nvJPEG2000. Un archivo JPEG2000 especialmente diseñado podría dar lugar a una escritura fuera de los límites con datos arbitrarios, lo que provocaría una mayor corrupción de memoria y la ejecución de código arbitrario. Se ha asignado el identificador CVE-2024-0143 para esta vulnerabilidad.
  • Vulnerabilidad de corrupción de memoria en la funcionalidad de descodificación de imágenes de NVIDIA nvJPEG2000. Un archivo .jp2 especialmente diseñado puede provocar una escritura fuera de los límites. Se ha asignado el identificador CVE-2024-0142 para esta vulnerabilidad.
  • Vulnerabilidad de desbordamiento de búfer en el manejo del campo "Ndecomp" de NVIDIA nvJPEG2000. Un archivo JPEG2000 especialmente diseñado podría provocar la sobreescritura de la memoria, lo que daría lugar a una mayor corrupción de memoria y a la ejecución de código arbitrario. Se ha asignado el identificador CVE-2024-0144 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos Ivanti

Fecha12/02/2025
Importancia5 - Crítica
Recursos Afectados
  • Ivanti Connect Secure (ICS): versiones 22.7R2.5 y anteriores;
  • Ivanti Policy Secure (IPS): versiones 22.7R1.2 y anteriores;
  • Ivanti Secure Access Client (ISAC): versiones 22.7R4 y anteriores.
Descripción

Ivanti ha publicado en su boletín de seguridad de febrero de 2025 un aviso que recoge un total de 8 vulnerabilidades, siendo 3 de severidad crítica, una alta y 4 medias. La explotación de estas vulnerabilidades podría permitir a un atacante autenticado de forma remota leer y escribir ficheros de forma arbitraria, ejecutar código de forma remota y obtener privilegios de administrador. Asimismo, un atacante local no autenticado podría leer datos sensibles y borrar ficheros arbitrarios.

Solución

Actualizar a las últimas versiones:

  • Ivanti Connect Secure (ICS): versiones 22.7R2.6;
  • Ivanti Policy Secure (IPS): versiones 22.7R1.3;
  • Ivanti Secure Access Client (ISAC): versiones 22.8R1.
Detalle

Las vulnerabilidades críticas se describen a continuación:

  • Para los productos Ivanti Connect Secure (ICS) en versiones 22.7R2.6 o anteriores e Ivanti Policy Secure (IPS) en versiones 22.7R1.3 o anteriores, el control externo de un nombre de fichero permite a un atacante autenticado en remoto con privilegios de administrador escribir archivos de forma arbitraria. Se ha asignado el identificador CVE-2024-38657 para esta vulnerabilidad.
  • El producto Ivanti Connect Secure (ICS) en versiones 22.7R2.6 o anteriores, tiene una vulnerabilidad de desbordamiento de búfer basado en pila que permite a un atacante autenticado en remoto ejecutar código de forma remota. Se ha asignado el identificador CVE-2025-22467 para esta vulnerabilidad.
  • Los productos Ivanti Connect Secure (ICS) en versiones 22.7R2.6 o anteriores e Ivanti Policy Secure (IPS) en versiones 22.7R1.3 o anteriores, son vulnerables a una inyección de código que permiten a un atacante autenticado en remoto con privilegios de administrador ejecutar código de forma remota.

El resto de vulnerabilidades y sus CVE asociados pueden consultarse en las referencias.


Ausencia de notificación de error en OpenSSL

Fecha12/02/2025
Importancia4 - Alta
Recursos Afectados

OpenSSL 3.4, 3.3 y 3.2.

Descripción

OpenSSL ha publicado una vulnerabilidad de severidad alta en los protocolos de enlace (handsake) RFC7250 que podría dar lugar a ataque man-in-the-middle.

Solución

Actualizar a las versiones OpenSSL 3.4.1, 3.3.3 y 3.2.4.

Detalle

Los clientes que usan claves públicas sin formato (RPK) RFC7250 para autenticar un servidor, pueden no notar que el servidor no se ha autenticado, porque los protocolos de enlace (handsake) no se cancelan como se esperaba cuando se establece el modo de verificación SSL_VERIFY_PEER. La vulnerabilidad afecta a las conexiones TLS y DTLS que utilizan claves públicas sin procesar.  Su explotación podría provocar ataques de intermediarios (man-in-the-middle) cuando no se detecta el fallo de autenticación del servidor.

La vulnerabilidad tiene asignado el identificador CVE-2024-12797.