Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

CCN-CERT AL 07/18 Publicada la prueba de concepto (POC) que permite explotar la vulnerabilidad CVE-2018-1273 en el framework Spring de Pivotal (16/04/2018)

 
  ALERTAS  
     
 

Publicada la prueba de concepto (POC) que permite explotar la vulnerabilidad CVE-2018-1273 en el framework Spring de Pivotal

Fecha de publicación: 16/04/2018

Nivel de peligrosidad: Crítico

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, alerta sobre la publicación de una vulnerabilidad en el framework Spring de Pivotal. Spring es un framework Open Source para el desarrollo de aplicaciones web perteneciente a la empresa Pivotal.

El día 10 de abril de 2018, se detectó una vulnerabilidad crítica relacionada con el framework Spring (ver alerta previa). Esta vulnerabilidad, según Pivotal, afecta a las versiones de Spring Data Commons y Spring Data REST.

Vulnerabilidades

La vulnerabilidad detectada es la siguiente:

1) CVE-2018-1273. Se trata de una vulnerabilidad en un componente de Spring Data Common. La clase MapDataBinder que se encarga de evaluar y procesar expresiones en lenguaje SpEL, lo hace de manera insegura permitiendo la inyección de código. Un atacante puede suministrar parámetros especialmente diseñados contra recursos HTTP respaldados por Spring Data REST o mediante la vinculación de una solicitud basada en Spring Data para conseguir la ejecución de código remoto (RCE).

Recursos afectados:

  • Pivotal Software Spring Data Commons 1.13 a 1.13.10 (Ingalls SR10)
  • Pivotal Software Spring Data REST 2.6 a 2.6.10 (Ingalls SR10)
  • Pivotal Software Spring Data Commons 2.0 a 2.0.5 (Kay SR5)
  • Pivotal Software Spring Data REST 3.0 a 3.0.5 (Kay SR5)

Medidas de mitigación

Las actualizaciones para reparar estas vulnerabilidades son:

  • Spring Data Commons 2.0.6
  • Spring Data Commons 1.13.11
  • Spring Data REST 2.6.11
  • Spring Data REST 3.0.6

Referencias

Prueba de concepto (POC)

Se ha hecho pública la prueba de concepto (POC) que permite explotar la vulnerabilidad CVE-2018-1273 en el framework Spring de Pivotal. Recientemente investigadores de seguridad de F5 publicaron los detalles técnicos completos sobre esta vulnerabilidad y el método de explotación de la misma, también se ha publicado la prueba de concepto (POC) en un proyecto publicado en Git Hub.

Referencias

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT.

Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo:

info@ccn-cert.cni.es

Síganos en:

www.ccn-cert.cni.es

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.

Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin.

De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC.

---------------------
Claves PGP Públicas
---------------------
info@ccn-cert.cni.es / ccn-cert@ccn-cert.cni.es
--------------------
Fingerprint: 558C FC10 FE3E 1EE3 54CD 5064 EE91 B20A 0E13 BF37
Descarga
--------------------

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario.
Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

 
     
© 2018 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

 

CCN-CERT AL 07/18 Vulnerabilidad en Spring Framework (10/04/2018)

 
  ALERTAS  
     
 

Vulnerabilidades en Spring Framework

Publicado el: 10/04/2018

Nivel de peligrosidad: Alto

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, alerta sobre la publicación de 4 vulnerabilidades en el framework Spring de Pivotal. Spring es un framework Open Source para el desarrollo de aplicaciones web perteneciente a la empresa Pivotal.

En septiembre de 2017 se descubrió una vulnerabilidad en Spring que se ha corregido y se ha hecho pública en marzo de 2018. Debido a su criticidad no se publicó la vulnerabilidad hasta que el fabricante puso a disposición de los usuarios que utilizan Spring Data Rest la actualización de Spring Boot 2.0. que soluciona dicha vulnerabilidad. (CVE-2017-8046).

El día 06 de abril de 2018, se detectaron otras 3 vulnerabilidades relacionadas con el framework Spring, siendo una de ellas crítica. Estas vulnerabilidades, según Pivotal, afectan a las versiones de la 5.0 a la 5.0.4, y de la 4.3. a la 4.3.14, así como a las que ya no tienen soporte oficial. (CVE-2018-1270, CVE-2018-1271, CVE-2018-1272).

Vulnerabilidades

Las vulnerabilidades detectadas son las siguientes:

1) CVE-2017-8046. Se trata de una vulnerabilidad causada por la forma en la que SpEL (El lenguaje de expresión propio de Spring) es usado en el componente Data REST. La entrada de datos no es correctamente validada lo que puede provocar que un atacante sea capaz de ejecutar código arbitrario (RCE) en cualquier máquina que tenga una aplicación creada con Spring Data REST. Pivotal se ha referido a esta vulnerabilidad como DATAREST-1127 y ha emitido un parche para la misma en la actualización de Spring Boot 2.0.

Recursos afectados:

  • Pivotal Software Spring Data Rest 3.0 Rc3
  • Pivotal Software Spring Data Rest 3.0 Rc2
  • Pivotal Software Spring Data Rest 3.0 Rc1
  • Pivotal Software Spring Boot 2.0.0 M5
  • Pivotal Software Spring Boot 2.0.0 M4
  • Pivotal Software Spring Boot 2.0.0 M3
  • Pivotal Software Spring Boot 2.0.0 M2
  • Pivotal Software Spring Boot 2.0.0 M1

2) CVE-2018-1270. Se trata de una vulnerabilidad considerada crítica que permite la ejecución de código en remoto. Las versiones de Spring que son vulnerables permiten a través del módulo spring-messaging exponer STOMP a través de WebSocket. Eso puede permitir a un atacante ejecutar código dañino a partir de la inclusión de un filtro en la suscripción de un evento de STOMP.

3) CVE-2018-1271. Se trata de una vulnerabilidad de Directory Traversal considerada como alta y afecta a Spring MVC sobre Windows. Las versiones de Spring que son vulnerables, permiten que las aplicaciones configuren Spring MVC para servir recursos estáticos como CSS, JavaScript e imágenes. Cuando se sirve el recurso estático desde un sistema de ficheros en Windows (a diferencia de classpath o ServletContext), un atacante podría enviar una petición maliciosa que permitiría explotar el directory traversal.

4) CVE-2018-1272. Esta vulnerabilidad se produce cuando un servidor A recibe datos introducidos por un cliente los cuales serán reutilizados para realizar una petición multipart a un servidor B. Este servidor puede estar expuesto a un ataque que permitiría una elevación de privilegios si se inserta una nueva petición multipart. Para que esta vulnerabilidad pueda ser explotada el atacante tiene que adivinar previamente el boundary.

Recursos afectados:

Estas 3 últimas vulnerabilidades afectan a:

  • Spring Framework 5.0 to 5.0.4
  • Spring Framework 4.3 to 4.3.14
  • Las versiones antiguas que no tienen soporte oficial

Medidas de mitigación

1) CVE-2017-8046

Las actualizaciones para reparar estas vulnerabilidades son:

  • Spring Data REST 2.6.9
  • Spring Data REST 3.0.1
  • Spring Boot 1.5.9
  • Spring Boot 2.0 M6

2, 3 y 4) CVE-2018-1270, CVE-2018-1271, CVE-2018-1272

Actualizar a las versiones de Spring Framework 5.0.5 y 4.3.15.

Referencias

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT.

Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo:

info@ccn-cert.cni.es

Síganos en:

www.ccn-cert.cni.es

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.

Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin.

De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC.

---------------------
Claves PGP Públicas
---------------------
info@ccn-cert.cni.es / ccn-cert@ccn-cert.cni.es
--------------------
Fingerprint: 558C FC10 FE3E 1EE3 54CD 5064 EE91 B20A 0E13 BF37
Descarga
--------------------

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario.
Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

 
     
© 2018 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

 

Volver

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración