Vulnerabilidad crítica en Oracle Database

El fallo, con una puntuación CVSSv3 de 9,9, podría propiciar el acceso completo a la base de datos y al sistema operativo subyacente. Oracle apela al parcheo inmediato de los sistemas.

Pocas veces una empresa con una política periódica de publicación de parches rompe sus ciclos pero, cuando lo hace, normalmente es motivo de preocupación. En este caso le ha tocado a Oracle, que publica sus parches cuatrimestralmente.

Y el motivo no es para menos. Identificada como CVE-2018-3110, la vulnerabilidad encontrada en Oracle Database Server permite a un atacante remoto tomar el control de la base de datos y acceder a través de linea de comandos al sistema operativo sobre el que se ejecuta.

Concretamente, el fallo se encuentra en el componente Java VM. La explotación es trivial, pero requiere al atacante remoto estar autenticado y contar con el privilegio “Create Session“, además de acceso a través de Oracle Net.

La vulnerabilidad ha sido publicada debido a su impacto en las versiones 11.2.0.4 y 12.2.0.1 para Windows. Sin embargo ya en su boletín de julio Oracle parcheaba este mismo fallo para la versión 12.1.0.2 en Windows, y para aquellas bajo sistemas Linux y Unix.

Esta no es la primera vez que Oracle saca parches fuera de ciclo. De hecho, el año pasado publicó hasta 4 alertas bajo la tipología Oracle Security Alert Advisory, que es la que se utiliza cuando las vulnerabilidades son críticas (puntuaciones CVSSv3 mayor a 9.8, al menos) y requieren acción inmediata.Una de ellas era 10/10.

Más información:

Oracle Security Alert Advisory – CVE-2018-3110:

Actualizaciones para múltiples productos de Adobe

Adobe ha publicado cuatro boletines de seguridad en los que se hah corregido un total de once vulnerabilidades en sus productos Flash Player, Reader, Acrobat, Experience Manager, y Creative Cloud Desktop Application

A continuación se exponen los boletines publicados para cada producto.

Adobe Creative Cloud Desktop Application (APSB18-20): boletín que solucionauna vulnerabilidad relacionada con la carga insegura de librerías DLL que podría permitir la elevación de privilegios (CVE-2018-5003).

Adobe Flash Player (APSB18-25): solventa cinco errores de seguridad en el popular reproductor flash que podrían causar la revelación de información (CVE-2018-12824, CVE-2018-12826, CVE-2018-12827), eludir restricciones de seguridad (CVE-2018-12825), y elevar privilegios (CVE-2018-12828).

Adobe Experience Manager (APSB18-26): tres problemas de seguridad son solucionados en este boletín que podrían permitir la revelación de información sensible a través de ataques Cross-site Scripting y Cross-site Scripting reflejado (CVE-2018-5005 y CVE-2018-12806) y modificar información sin autorización a causa de un error relacionado con el incorrecto filtrado de entradas proporcionadas por el usuarios (CVE-2018-12807).

Adobe Reader y Acrobat (APSB18-29): este último boletín corrige dos vulnerabilidades que permitirían la ejecución de código remoto debido a una escritura en memoria fuera de límite y dereferencia a puntero (CVE-2018-12808 y CVE-2018-12809 respectivamente).

Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):

  • Adobe Creative Cloud Desktop Application 4.5.0.324 para Windows
  • Adobe Flash Player 30.0.0.134 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
  • Adobe Experience Manager 6.x para todas las plataformas.
  • Acrobat en sus versiones 2018.011.20055, 2017.011.30096 y 2015.006.30434, y anteriores para Windows y macOS.
  • Acrobat Reader en sus versiones 2018.011.20055, 2017.011.30096 y 2015.006.30434 para Windows y macOS.


Juan José Ruiz
jruiz @ hispasec.com
Más información:
 
APSB18-20 – Security update available for the Adobe Creative Cloud Desktop Application:
https://helpx.adobe.com/security/products/creative-cloud/apsb18-20.html

APSB18-25 – Security updates available for Adobe Flash Player:
APSB18-26 – Security update available for Adobe Experience Manager:

Fallo de seguridad en la Black Hat 2018 expone datos de los asistentes

El investigador y pentester ‘NinjaStyle’ ha conseguido extraer información sobre los asistentes de la última BlackHat USA debido a un fallo presente en su API.

La ‘Black Hat’ es un evento anual de seguridad informática que se lleva realizando desde 1997 en la ciudad de las Vegas, en Nevada, evento en el cual se reúnen expertos e investigadores de seguridad informática de todo el mundo.

El fallo, descubierto por el investigador de seguridad ‘NinjaStyle’, se debía a una falta de autenticación en una de las API “pública” utilizada para la organización del evento. Este evento utilizaba para el registro de los asistentes una insignia con una etiqueta NFC a cargo de una empresa externa, los cuales también utilizaban los datos de registro para realizar marketing.

‘NinjaStyle’ se siente alarmado cuando empieza a recibir varios correos electrónicos, y decide iniciar una investigación sobre qué datos contiene esta etiqueta NFC, y si estos datos podrían ser consultados de forma remota. Para ello, decide descargarse la aplicación lectora de NFC de la empresa ‘INT Internacional’, encargada del registro de este evento.

Datos leídos por el lector NFC, extraída de https://ninja.style/

Mediante técnicas de ingeniería inversa, consigue ver que efectivamente, la aplicación ‘Platform BCARD Reader’ utilizaba los datos leídos a través de la etiqueta NFC para consultar datos del usuario de forma remota, a través de una API, la cual no tenía ningún sistema de autenticación implementado.