Siete vulnerabilidades explotadas conocidas añadidas al catálogo CISA
CISA (Cybersecurity and Infrastructure Security Agency) añadió siete nuevas vulnerabilidades de Linux a su catálogo de vulnerabilidades explotadas conocidas (KEV) el 12 de mayo de 2023.
Estos incluyen la ejecución remota de código de Ruckus AP (CVE-2023-25717), la escalada de privilegios de Red Hat (CVE-2021-3560), las escaladas de privilegios del kernel de Linux (CVE-2014-0196 y CVE-2010-3904), la divulgación de información de la interfaz de usuario de Jenkins (CVE-2015-5317), la ejecución remota de código de Apache Tomcat (CVE-2016-8735) y un problema de Oracle Java SE y JRockit (CVE-2016-3427).
La vulnerabilidad del producto Ruckus ha sido explotada por la red de bots DDoS AndoryuBot. Pero no hay informes públicos de explotación de otras vulnerabilidades. Sin embargo, se dispone de detalles técnicos y exploits de prueba de concepto (PoC), dado que algunos de ellos se conocen desde hace una década.
Siete vulnerabilidades explotadas conocidas
Ruckus Wireless Admin a través de 10.4 permite la ejecución remota de código a través de una solicitud HTTP GET no autenticada, como lo demuestra un /forms/doLogin?login_username=admin&password=password$(curl
subcadena.
Este fallo permite a un atacante local sin privilegios crear un nuevo administrador local o llevar a cabo acciones similares. Los principales riesgos que plantea esta vulnerabilidad son el compromiso de la confidencialidad y la integridad de los datos, así como la posible vulnerabilidad de los sistemas.
Este fallo permite a los usuarios locales explotar una condición de carrera que implica cadenas largas durante las operaciones de lectura y escritura. Como resultado, los atacantes pueden causar una denegación de servicio (corrupción de memoria y caída del sistema) o potencialmente obtener privilegios escalados.
En el núcleo de Linux anterior a la versión 2.6.36, la función rds_page_copy_user
función en net/rds/page.c
que gestiona el protocolo Reliable Datagram Sockets (RDS), carece de la validación adecuada de las direcciones obtenidas desde el espacio de usuario. Esta vulnerabilidad permite a los usuarios locales obtener privilegios elevados, ya que las llamadas al sistema sendmsg y recvmsg pueden ser explotadas con un uso crafteado.
En las versiones de Jenkins anteriores a 1.638 y las versiones LTS anteriores a 1.625.2, las páginas Fingerprints tienen una vulnerabilidad que potencialmente podría permitir a atacantes remotos acceder a información sensible de trabajos y nombres de builds solicitándola directamente.
Este fallo se debe a que no se ha actualizado el listener para alinearlo con el parche de Oracle CVE-2016-3427, que afectaba a los tipos de credenciales y provocaba incoherencias.
Se ha encontrado un fallo en las versiones 6u113, 7u99 y 8u77 de Oracle Java SE, Java SE Embedded 8u77 y JRockit R28.3.9. La vulnerabilidad está relacionada con JMX (Java Management Extensions) y puede ser explotada remotamente por atacantes.
Soluciones para las vulnerabilidades explotadas
Las organizaciones a menudo necesitan utilizar distribuciones de Linux después de que el fabricante finalice el soporte de seguridad, pero los ciberdelincuentes siguen buscando y explotando vulnerabilidades después de que estos productos lleguen al final de su vida útil (EOL).
Afortunadamente, TuxCare ofrece una solución en forma de Asistencia ampliada del ciclo de vida. Con este servicio, las organizaciones pueden seguir utilizando con confianza estos sistemas durante un periodo adicional de hasta cuatro años después de la fecha oficial de fin de vida útil. Durante este periodo ampliado, TuxCare asume la responsabilidad de proporcionar parches automáticos contra vulnerabilidades.
Además, TuxCare ofrece un servicio de parches en vivo para más de 40 distribuciones de Linux, incluidas algunas tan populares como CentOS, AlmaLinux, Debian, Ubuntu, Oracle Linux, Amazon Linux, CloudLinux, Red Hat, Rocky Linux y Raspberry Pi OS.
Conclusión
Las vulnerabilidades anteriores comparten un vínculo común con Linux, lo que sugiere que pueden haber sido explotadas en ataques dirigidos a sistemas Linux. Los avisos del NIST para cada vulnerabilidad hacen referencia a los avisos de las distribuciones de Linux, que describen el impacto de estos fallos e indican la disponibilidad de parches.
Es probable que algunos de estos problemas también hayan sido explotados en ataques dirigidos a dispositivos Android, ya que la explotación de vulnerabilidades del kernel de Linux en ataques a Android no es infrecuente.
CISA ha identificado una conexión entre dos de las vulnerabilidades. La presencia del fallo de Apache Tomcat se atribuye a un componente que no se actualizó para incorporar la corrección de Oracle para CVE-2016-3427. Sin embargo, no es evidente si se han combinado varios fallos o se han utilizado en un único ataque, o si las vulnerabilidades han sido explotadas por el mismo actor de la amenaza.
Las fuentes de este artículo incluyen un artículo de SecurityWeek.