8 de febrero de 2023

Actualice Android ahora mismo para corregir un error aterrador de ejecución remota

La temporada de vacaciones casi ha terminado, pero los parches de seguridad siguen llegando gruesos y rápidos en diciembre. El mes ha visto actualizaciones lanzadas por Apple, Google y Microsoft, así como compañías de software empresarial, incluidos SAP, Citrix y VMWare.

Muchos de los parches corrigen vulnerabilidades de día cero que ya se explotan en los ataques, lo que hace importante que se apliquen lo antes posible. Aquí está la información sobre todos los parches lanzados en diciembre.

-Apple iOS y iPadOS 16.2, iOS 15.7.2, iOS 16.1.2

Apple lanzó una importante actualización de puntos a su sistema operativo iOS 16 en diciembre: iOS 16.2. La actualización viene con características que incluyen cifrado de extremo a extremo en iCloud, pero también corrige 35 vulnerabilidades de seguridad.

No se sabe que ninguno de los problemas parcheados en iOS 16.2 se haya utilizado en ataques; Sin embargo, muchos son bastante serios. Las fallas incluyen seis en el Kernel y nueve en el motor que alimenta el navegador Safari de Apple, WebKit, lo que podría permitir que un atacante ejecute código.

Apple también lanzó iOS 15.7.2 para usuarios de iPhones más antiguos que no se puede ejecutar iOS 16, arreglando un defecto que ya se está utilizando en los ataques. Rastreado como CVE-2022-42856, la vulnerabilidad de WebKit podría permitir que un atacante ejecute código, de acuerdo con Apple página de soporte. A finales de noviembre, Apple arregló la misma falla de WebKit en iOS 16.1.2.

Desde el lanzamiento de iOS 16 en septiembre, Apple ha estado ofreciendo actualizaciones de seguridad a aquellos que no desean actualizar al nuevo sistema operativo. Pero iOS 15.7.2 es solo para iPhones más antiguos, por lo que, si tiene un iPhone 8 o superior, ahora debe actualizar a iOS 16 para mantenerse seguro.

El fabricante de iPhone también lanzó macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big Sur 11.7.2, macOS Monterey 12.6.2 y Safari 16.2.

-Google Android

Diciembre fue un mes de parche considerable para el sistema operativo Android de Google, con correcciones para docenas de vulnerabilidades de seguridad emitidas durante el mes. Rastreado como CVE-2022-20411, la más grave es una vulnerabilidad crítica en el componente del sistema que podría conducir a la ejecución remota de código a través de Bluetooth sin que se necesiten privilegios de ejecución adicionales, dijo Google en un boletín de seguridad.

Google también corrigió dos fallas críticas en el componente Android Framework, CVE-2022-20472 y CVE-2022-20473. Mientras tanto, 151 errores específicos de Pixel fueron remendado por Google en diciembre.

El parche de diciembre está disponible para los propios dispositivos Pixel de Google, así como para los teléfonos inteligentes Samsung, incluida la gama Galaxy insignia del fabricante de hardware.

-Google Chrome 108

Google ha emitido una actualización de emergencia para su navegador Chrome para arreglar el noveno día cero vulnerabilidades del año. Rastreado como CVE-2022-4262, el problema de confusión de tipo de alta gravedad en el motor V8 JavaScript de Chrome podría permitir que un atacante remoto explote la corrupción del montón a través de una página HTML diseñada. “Google es consciente de que existe un exploit para CVE-2022-4262 en la naturaleza,” dijo el fabricante del navegador en un blog.

La actualización de emergencia llegó pocos días después de que Google lanzó Chrome 108, parcheo 28 fallas de seguridad. Entre las correcciones están CVE-2022-4174— una falla de confusión de tipo en V8, y varios errores de uso después de uso libre. Ninguna de estas vulnerabilidades ha sido explotada en ataques, según Google. Pero dado que el último error ya está en manos de los atacantes, es una buena idea actualizar Chrome lo antes posible.

-Parche de Microsoft martes

El Diciembre Patch Tuesday de Microsoft fue otro gran, solucionando 49 vulnerabilidades de seguridad, incluida una falla utilizada en los ataques. Rastreado como CVE-2022-44698, el problema es una vulnerabilidad de derivación de la función de seguridad SmartScreen de Windows que podría conducir a la pérdida de integridad y disponibilidad.

“Un atacante puede crear un archivo malicioso que evadiría las defensas Mark of the Web (MOTW), resultando en una pérdida limitada de integridad y disponibilidad de características de seguridad como la Vista protegida en Microsoft Office, que se basan en el etiquetado MOTW,” Microsoft dijo.

Otra falla grave es una elevación de la vulnerabilidad de privilegios en el núcleo de gráficos DirectX rastreado como CVE-2022-44710. Un ataque exitoso podría permitir que un adversario gane privilegios del sistema.

Seis de los problemas parcheados en diciembre son la ejecución remota de código (RCE) fallas marcadas como críticas, por lo que vale la pena actualizarlo de inmediato.

Sin embargo, también vale la pena señalar que la última actualización de Patch Tuesday está causando problemas a algunos usuarios de Windows 10. Aunque hay una solución, Microsoft ha prometido una actualización adicional para resolver esto.

-Citrix

El fabricante de software Citrix ha emitido un parche de emergencia por una falla que, según dice, se está utilizando en ataques. Rastreado como CVE-2022-27518, el problema en Citrix Gateway y Citrix ADC podría permitir que un atacante remoto no autenticado realice una ejecución de código arbitrario en el aparato, dijo Citrix en un boletín. “Se han informado exploits de este problema en aparatos no mitigados en la naturaleza,” dijo Citrix.

La empresa “insta firmemente a” a los clientes de Citrix ADC y Citrix Gateway a instalar las versiones actualizadas relevantes lo antes posible.

La Agencia de Seguridad Nacional (NSA) ha conectado los ataques a APT5, un grupo de piratería vinculado a China también conocido como Keyhole Panda o Manganese que se dirige a telecomunicaciones, fabricación de alta tecnología y tecnología de aplicaciones militares. La agencia ha publicado Guía de caza de amenazas para ayudar a las organizaciones a detectar signos de ataque.

-Fortinet

El proveedor de seguridad Fortinet ha parcheado una vulnerabilidad de desbordamiento de búfer basada en el montón en FortiOS SSL-VPN que podría permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes específicamente diseñadas. Rastreado como CVE-2022-42475, la falla tiene un puntaje CVSSv3 de 9.3 y ya se ha utilizado en ataques.

“Fortinet conoce una instancia en la que esta vulnerabilidad fue explotada en la naturaleza y recomienda validar inmediatamente sus sistemas,” dijo la empresa. Tiene listado Algunos indicadores de compromiso para que las organizaciones los cuiden.

-VMWare

El gigante de software VMWare ha aplastado una vulnerabilidad de escritura fuera de límites en el controlador USB 2.0 (EHCI) en VMware ESXi, Workstation y Fusion. Rastreado como CVE-2022-31705 y con un puntaje base CVSSv3 de 9.3, la vulnerabilidad fue explotada por investigadores de seguridad en el evento de piratería GeekPwn 2022.

La firma también fijo una inyección de comandos y una falla transversal del directorio en su producto VMware vRealize Network Insight, rastreado como CVE-2022-31702 y CVE-2022-31703. Al explotar con éxito la primera vulnerabilidad, un adversario con acceso a la red a la API REST vRNI podría ejecutar comandos sin autenticación.

VMware dijo que el problema está en el rango de gravedad crítica con una puntuación base máxima de CVSSv3 de 9.8. La segunda falla tiene una puntuación CVSSv3 de 7.5 y podría permitir que los actores maliciosos con acceso a la red a la API REST vRNI lean archivos arbitrarios del servidor.

-SAP

Diciembre de SAP Día del parche de seguridad incluye 20 correcciones nuevas y actualizadas. Una de las fallas más graves, con un puntaje CVSSv3 de 9.9, es una vulnerabilidad crítica de falsificación de solicitudes del lado del servidor en SAP BusinessObjects.

Los atacantes “con privilegios normales de usuario de BI pueden cargar y reemplazar cualquier archivo en el servidor de Business Objects a nivel del sistema operativo,” la firma de seguridad Onapsis dijo. “Esto permite al atacante tomar el control total del sistema y tiene un impacto significativo en la confidencialidad, integridad y disponibilidad de la aplicación.”