 |
||
| ALERTAS | ||
Publicada la prueba de concepto (POC) que permite explotar la vulnerabilidad CVE-2018-1273 en el framework Spring de PivotalFecha de publicación: 16/04/2018 Nivel de peligrosidad: Crítico El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, alerta sobre la publicación de una vulnerabilidad en el framework Spring de Pivotal. Spring es un framework Open Source para el desarrollo de aplicaciones web perteneciente a la empresa Pivotal. El día 10 de abril de 2018, se detectó una vulnerabilidad crítica relacionada con el framework Spring (ver alerta previa). Esta vulnerabilidad, según Pivotal, afecta a las versiones de Spring Data Commons y Spring Data REST. Vulnerabilidades La vulnerabilidad detectada es la siguiente: 1) CVE-2018-1273. Se trata de una vulnerabilidad en un componente de Spring Data Common. La clase MapDataBinder que se encarga de evaluar y procesar expresiones en lenguaje SpEL, lo hace de manera insegura permitiendo la inyección de código. Un atacante puede suministrar parámetros especialmente diseñados contra recursos HTTP respaldados por Spring Data REST o mediante la vinculación de una solicitud basada en Spring Data para conseguir la ejecución de código remoto (RCE). Recursos afectados:
Medidas de mitigación Las actualizaciones para reparar estas vulnerabilidades son:
Referencias Prueba de concepto (POC) Se ha hecho pública la prueba de concepto (POC) que permite explotar la vulnerabilidad CVE-2018-1273 en el framework Spring de Pivotal. Recientemente investigadores de seguridad de F5 publicaron los detalles técnicos completos sobre esta vulnerabilidad y el método de explotación de la misma, también se ha publicado la prueba de concepto (POC) en un proyecto publicado en Git Hub. Referencias Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo: Síganos en:
////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. --------------------- ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: |
||
| © 2018 Centro Criptológico Nacional, Argentona 30, 28023 MADRID | ||
CCN-CERT AL 07/18 Vulnerabilidad en Spring Framework (10/04/2018)
|
||
| ALERTAS | ||
Vulnerabilidades en Spring FrameworkPublicado el: 10/04/2018 Nivel de peligrosidad: Alto El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, alerta sobre la publicación de 4 vulnerabilidades en el framework Spring de Pivotal. Spring es un framework Open Source para el desarrollo de aplicaciones web perteneciente a la empresa Pivotal. En septiembre de 2017 se descubrió una vulnerabilidad en Spring que se ha corregido y se ha hecho pública en marzo de 2018. Debido a su criticidad no se publicó la vulnerabilidad hasta que el fabricante puso a disposición de los usuarios que utilizan Spring Data Rest la actualización de Spring Boot 2.0. que soluciona dicha vulnerabilidad. (CVE-2017-8046). El día 06 de abril de 2018, se detectaron otras 3 vulnerabilidades relacionadas con el framework Spring, siendo una de ellas crítica. Estas vulnerabilidades, según Pivotal, afectan a las versiones de la 5.0 a la 5.0.4, y de la 4.3. a la 4.3.14, así como a las que ya no tienen soporte oficial. (CVE-2018-1270, CVE-2018-1271, CVE-2018-1272). Vulnerabilidades Las vulnerabilidades detectadas son las siguientes: 1) CVE-2017-8046. Se trata de una vulnerabilidad causada por la forma en la que SpEL (El lenguaje de expresión propio de Spring) es usado en el componente Data REST. La entrada de datos no es correctamente validada lo que puede provocar que un atacante sea capaz de ejecutar código arbitrario (RCE) en cualquier máquina que tenga una aplicación creada con Spring Data REST. Pivotal se ha referido a esta vulnerabilidad como DATAREST-1127 y ha emitido un parche para la misma en la actualización de Spring Boot 2.0. Recursos afectados:
2) CVE-2018-1270. Se trata de una vulnerabilidad considerada crítica que permite la ejecución de código en remoto. Las versiones de Spring que son vulnerables permiten a través del módulo spring-messaging exponer STOMP a través de WebSocket. Eso puede permitir a un atacante ejecutar código dañino a partir de la inclusión de un filtro en la suscripción de un evento de STOMP. 3) CVE-2018-1271. Se trata de una vulnerabilidad de Directory Traversal considerada como alta y afecta a Spring MVC sobre Windows. Las versiones de Spring que son vulnerables, permiten que las aplicaciones configuren Spring MVC para servir recursos estáticos como CSS, JavaScript e imágenes. Cuando se sirve el recurso estático desde un sistema de ficheros en Windows (a diferencia de classpath o ServletContext), un atacante podría enviar una petición maliciosa que permitiría explotar el directory traversal. 4) CVE-2018-1272. Esta vulnerabilidad se produce cuando un servidor A recibe datos introducidos por un cliente los cuales serán reutilizados para realizar una petición multipart a un servidor B. Este servidor puede estar expuesto a un ataque que permitiría una elevación de privilegios si se inserta una nueva petición multipart. Para que esta vulnerabilidad pueda ser explotada el atacante tiene que adivinar previamente el boundary. Recursos afectados: Estas 3 últimas vulnerabilidades afectan a:
Medidas de mitigación Las actualizaciones para reparar estas vulnerabilidades son:
2, 3 y 4) CVE-2018-1270, CVE-2018-1271, CVE-2018-1272 Actualizar a las versiones de Spring Framework 5.0.5 y 4.3.15. Referencias
Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo: Síganos en:
////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. --------------------- ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: |
||
| © 2018 Centro Criptológico Nacional, Argentona 30, 28023 MADRID | ||
