Dos errores en la interfaz web de un sistema de almacenamiento en la nube de Fujitsu permitirían a los actores de amenazas autenticado leer, escribir, e incluso destruir archivos respaldados. Según el reporte, estas fallas residen en la solución de nivel empresarial Fujitsu Eternus CS8000 V8.1.
Estos problemas fueron encontrados por los investigadores de NCC Group, quienes mencionan que las fallas existen debido a la falta de validación de entrada de usuarios en dos scripts PHP. Las vulnerabilidades incluyen una inyección de comandos en grel.php y una inyección de comandos en hw_view.php, y su explotación exitosa permitiría a los actores de amenazas ejecutar código remoto sin autenticación.
Debido a que no hay protecciones durante la inclusión, los actores de amenazas podrían activar el script sin autenticación previa llamándolo directamente. Esto les permitiría tomar el control del dispositivo como si hubieran iniciado sesión directamente a través de un shell seguro.
Según los expertos, la explotación exitosa permite a los hackers obtener privilegios de usuario limitados en la máquina como usuario de ‘www-data’; sin embargo, debe tenerse en cuenta que el Kernel en el sistema que encontró NCC Group está muy desactualizado, lo que permite a los hackers escalar sus privilegios a usuario root administrativo del sistema.
Los investigadores de NCC Group descubrieron estos problemas mientras aplicaban pentesting a los sistemas de un cliente. Estos hallazgos fueron notificados a Fujitsu, que abordó las fallas poco después y notificó a sus usuarios que no se habían detectado intentos de explotación activa, además de que no parece haber exploits de prueba de concepto (PoC) para estos ataques.
Aunque es poco probable que se presenten intentos de hacking, se recomienda a los usuarios actualizar a la más reciente versión del software para mitigar los riesgos relacionados a estas fallas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
