Los especialistas de un curso de hacking han revelado el hallazgo de un conjunto de vulnerabilidades que afectan el servidor web iPlanet de Oracle. Identificadas como CVE-2020-9315 y CVE-2020-9314, la explotación de estas fallas de seguridad permite la exposición de datos confidenciales y ataques de inyección de comandos.
El reporte inicial fue presentado por los investigadores de la firma Nightwatch Cybersecurity a inicios de 2020. Para ser específicos, las fallas fueron encontradas en la consola de administración web de la herramienta de gestión del servidor empresarial. A continuación se presenta una breve reseña de las vulnerabilidades encontradas, junto con sus respectivos puntajes del Common Vulnerability Scoring System (CVSS).
- CVE-2020-9315: Esta vulnerabilidad permite a cualquier actor de amenazas no autenticado la lectura de cualquier página dentro de la consola con sólo reemplazar una URL de GUI de administrador para la página objetivo. Los expertos del curso de hacking creen que esta falla provocar la fuga de datos confidenciales, incluyendo la información de configuración y las claves de cifrado
- CVE-2020-9314: Esta falla reside en el parámetro “productNameSrc” de la consola. Una solución incompleta para CVE-2012-0516 (un problema de seguridad que contiene problemas de validación XSS) permitió que se abusara de este parámetro junto con los parámetros “productNameHeight” y “productNameWidth” para la inyección de imágenes en un dominio, lo que podría facilitar el despliegue de campañas de phishing e ingeniería social
Si bien la versión de Oracle iPlanet Web Server 7.0.x está expuesta a estas fallas, aún no está claro si las versiones anteriores de esta solución también lo están. Los expertos del curso de hacking señalan que las últimas versiones de Oracle Glassfish y Eclipse Glassfish “comparten código común” con iPlanet, pero que “no parecen ser vulnerables”.
Como iPlanet Web Server 7.0.x es un producto heredado y Oracle ya no lanza soporte, es poco probable que la compañía lance actualizaciones de seguridad. Además, el reporte de la vulnerabilidad especifica que, debido a sus características, los investigadores fueron libres de revelar los detalles de la vulnerabilidad sin la intervención de Oracle.
El Instituto Internacional de Seguridad Cibernética (IICS) recomienda a los usuarios que aún emplean este software la habilitación de otras formas para mitigar el riesgo de explotación, como la restricción del acceso a la red o la actualización a una versión más reciente del software. La compañía rechazó los informes dos veces ya que el producto ya no es compatible, pero las fallas de seguridad sí fueron enviadas para la asignación de CVE. Para el 2 de febrero, la agencia había asignado claves CVE, por lo que fueron reveladas al público en mayo de 2020.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
