Vulnerabilidades en Drupal

Se ha informado de varias vulnerabilidades críticas en Drupa, que afecta al núcleo, concretamente, a la gestión y comprobación de archivos comprimidos cuando se suben al servidor. Estos fallos podrían permitir a un ciberdelincuente ejecutar código malicioso en el servidor.

Recursos afectados:

Versiones de Drupal anteriores a: 7.75; 8.8.12; 8.9.10 y 9.0.9.

Solución:

Se recomienda actualizar Drupal a la última versión disponible, en cada caso:

• Si utilizas Drupal 7.x, actualiza a 7.75.
• Si utilizas Drupal 8.8.x, actualiza a 8.8.12.
• Si utilizas Drupal 8.9.x, actualiza a 8.9.10.
• Si utilizas Drupal 9.x, actualiza a 9.0.9.

Vulnerabilidad crítica en Synology

Synology ha informado de una vulnerabilidad crítica que afecta a los productos de red (routers) que llevan el software SRM (Synology Router Manager) instalado.

La vulnerabilidad detectada, que afecta solo Safe Access, permitiría a un atacante ejecutar código arbitrario en los productos afectados.

Recursos afectados:

Todos los productos de Synology que tengan el software SRM anterior a la versión 1.2.3-0234.

Solución:

Se recomienda actualizar a la versión 1.2.3-0234 o superior.

Vulnerabilidad crítica en Drupal

Se ha detectado una vulnerabilidad crítica que afecta al núcleo de Drupal, concretamente, en la gestión de nombres de ficheros cuando son subidos al servidor. Este fallo podría permitir a un ciberdelincuente ejecutar código remoto en el servidor, aprovechando una interpretación incorrecta de las extensiones de archivo, cuando se suben ficheros al gestor de contenidos.

Recursos afectados:

Versiones anteriores a:

• Drupal 7.74.
• Drupal 8.8.11.
• Drupal 8.9.19
• Drupal 9.0.8.

Solución:

Se recomienda actualizar Drupal a la última versión disponible. Son las siguientes:

• Si utilizas Drupal 7.x, actualiza a Drupal 7.74.
• Si utilizas Drupal 8.8.x, actualiza a Drupal 8.8.11.
• Si utilizas Drupal 8.9.x, actualiza a Drupal 8.9.9.
• Si utilizas Drupal 9.x, actualiza a Drupal 9.0.8.

Vulnerabilidad en Prestashop

Prestashop ha publicado una actualización de seguridad que corrige una vulnerabilidad de criticidad alta. El fallo permitiría a un atacante visualizar todos los pedidos realizados en el sitio web sin estar registrado.

Recursos afectados:

• Prestashop 1.7.6.8 y versiones anteriores

Solución:

Es necesario actualizar Prestashop a la última versión 1.7.6.9, a través de la página de administración de la tienda.

Campaña de malware que usa como señuelo a la DGT

Se ha detectado una campaña de envío de correos electrónicos que tratan de suplantar a la Dirección General de Tráfico (DGT). El objetivo de esta campaña es la difusión de malware.

Los emails podrían tener un asunto similar a “Multa no pagada – bloque de vehiculos – [id (XXXXXXX)]” (donde las X serían una serie de números aleatorios). El mensaje contiene un enlace desde el que la víctima es redirigida a una web maliciosa donde se descarga el malware.

Además, para dar credibilidad al correo, los atacantes suplantan la dirección del remitente haciendo que parezca que proviene de una entidad legítima.

Aquí tienes nuestras recomendaciones para evitar ser víctima de las campañas de phishing y para saber cómo infectan nuestros dispositivos con malware y no caer en la trampa.

Vulnerabilidades en SAP

El aviso de seguridad de SAP de este mes incluye varias vulnerabilidades, que no habían sido abordadas con anterioridad, y que han sido calificadas como críticas o altas: CVE-2020-26821, CVE-2020-26822, CVE-2020-26823, CVE-2020-26824, CVE-2020-0230, CVE-2020-0233, CVE-2020-26808, CVE-2020-26820, CVE-2020-26815, CVE-2020-26809, CVE-2020-26810.

Recursos afectados:

• SAP Solution Manager (JAVA stack); Versión – 7.2.
• SAP Data Services; Versión – 4.2
• SAP AS ABAP(DMIS); Versiones – 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020.
• SAP S4 HANA(DMIS); Versiones – 101, 102, 103, 104, 105.
• SAP NetWeaver AS JAVA; Versiones – 7.20, 7.30, 7.31, 7.40, 7.50.
• SAP NetWeaver (Knowledge Management); Versiones – 7.30, 7.31, 7.40, 7.50.
• SAP Fiori Launchpad (News Tile Application); Versiones – 750, 751, 752, 753, 754, 755.
• SAP Commerce Cloud; Versiones – 1808, 1811, 1905, 2005.
• SAP Commerce Cloud (Accelerator Payment Mock); Versiones – 1808, 1811, 1905, 2005.

Solución:

Ya se han publicado los parches y actualizaciones de los productos afectados. Para poder realizar la descarga y aplicar las correcciones hay que acceder al portal de soporte de SAP con las credenciales de usuario.

Vulnerabilidad crítica en el kernel de Windows

Se ha detectado una vulnerabilidad crítica en el Kernel de Windows, que está siendo explotada de forma activa en ataques dirigidos junto con la vulnerabilidad CVE-2020-15999 en Google Chrome, ya corregida por Google.

Recursos afectados:

• Windows 10
• Windows 8
• Windows 7
• Windows Server 2019 (Server Core installation)
• Windows Server 2019
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 (Server Core installation)
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008 (Server Core installation)
• Windows Server 2008
• Windows Server 20H2 (Server Core Installation)
• Windows Server 2004 (Server Core installation)
• Windows Server 1909 (Server Core installation)
• Windows Server 1903 (Server Core installation)

Solución:

Se recomienda aplicar el parche que encontrarás en el siguiente enlace, dentro de la sección “Security Updates”.

Vulnerabilidades críticas en Microsoft

En su boletín de noviembre, Microsoft ha detallado 104 vulnerabilidades. 16 de ellas son críticas y afectan a varios de sus productos.

Recursos afectados:

• Microsoft Windows:
  • Windows 10 (versiones 20H2, 1607, 2004, 1903, 1909, 1809 y 1803);
  • Windows Server (versiones 2012, 2012 R2, 2012 Server Core, 2016, 2016 Server Core, 2019, 2019 Server Core);
  • Windows 8 (versiones 8.1 y RT 8.1).
• Internet Explorer 11:
  • En todas las versiones de Windows citadas anteriormente.
• Microsoft Edge (EdgeHTML-based):
  • Solamente afectadas las versiones de Windows 10 (20H2, 1607, 2004, 1903, 1909, 1809 y 1803).

Solución:

En la mayor parte de los casos, el software se actualizará automáticamente. De no ser así, tienes toda la información en este enlace.

Vulnerabilidad crítica en Firefox y Thunderbird

Mozilla ha publicado una actualización de seguridad que soluciona las vulnerabilidades descubiertas en sus herramientas Firefox y Thunderbird y que es recomendable aplicar en caso de que no se hayan actualizado automáticamente.

Recursos afectados:

Todas las versiones anteriores a:

• Firefox 82.0.3,
• Firefox ESR 78.4.1,
• Thunderbird 78.4.2.

Solución:

Por defecto, todas las herramientas se actualizan automáticamente. En caso de que esta característica no esté habilitada, es recomendable hacerlo de forma manual.

Campaña de correos fraudulentos en los que se solicita un rescate

Se ha detectado una campaña de emails fraudulentos que tratan de extorsionar a las víctimas para que paguen un rescate en criptomonedas. Los ciberdelincuentes amenazan al usuario con difundir un supuesto vídeo comprometido (que han obtenido mediante la infección por malware del dispositivo) entre los contactos de la víctima.

SI has recibido un mail de estas características, bórralo. Es un intento de estafa y, en realidad, no han infectado tus equipos, no tienen tus contactos y tampoco existe ningún vídeo.

Aquí tienes nuestras recomendaciones para evitar ser víctima de las campañas de phishing y para saber cómo infectan nuestros dispositivos con malware y no caer en la trampa.

Vulnerabilidad en Oracle Weblogic Server

Oracle ha informado de una vulnerabilidad crítica (CVE-2020-14750) en Oracle WebLogic Server. El fallo permite la ejecución de código de forma remota (RCE) por parte de un usuario no autenticado, a través de una petición HTTP especialmente diseñada. De esta forma, el atacante podría obtener control total del servidor vulnerable.

Recursos afectados:

• Oracle WebLogic Server 14.1.1.0.0
• Oracle WebLogic Server 12.2.1.4.0
• Oracle WebLogic Server 12.2.1.3.0
• Oracle WebLogic Server 12.1.3.0.0
• Oracle WebLogic Server 10.3.6.0.0

Solución:

Oracle ya ha publicado una actualización y la documentación con las instrucciones para instalarla.

by