Inyección SQL, deserialización y otras vulnerabilidades explotables de forma remota en Red Hat JBoss Web Server

Especialistas en ciberseguridad reportan el hallazgo de al menos cuatro vulnerabilidades críticas en JBoss Web Server, el servidor de aplicaciones Java EE de código abierto implementado en Java puro y desarrollado por Red Hat Inc. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas acceder a información confidencial.

A continuación se presenta un breve reporte sobre las fallas reportadas, además de sus respectivas claves de identificación y puntajes establecidos acorde al Common Vulnerability Scoring System (CVSS).

CVE-2020-25638: La depuración insuficiente de los datos proporcionados por el usuario cuando “hibernate.use_sql_comments” está configurado en “True” permite a los actores de amenazas enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios en la base de datos de la aplicación.

La vulnerabilidad recibió un puntaje CVSS de 7.1/10 y permitiría a los hackers leer, eliminar e incluso modificar datos en la base de datos afectada.

CVE-2021-25122: La inadecuada gestión de los recursos internos dentro de la aplicación al procesar nuevas solicitudes de conexión h2c permitiría a los hackers remotos enviar solicitudes especialmente diseñadas al servidor y obtener el contenido de las respuestas HTTP.  

La vulnerabilidad recibió un puntaje de 4.6/10 y su explotación permite a los atacantes acceder a información confidencial.  

CVE-2021-25329: La validación de entrada insegura al procesar datos serializados permitiría a los hackers remotos pasar datos especialmente diseñados a la aplicación afectada.  

La falla recibió un puntaje CVSS de 6.4/10 y su explotación exitosa ejecutar código arbitrario en el sistema afectado.

CVE-2020-9484: La validación de entradas inseguras al procesar datos serializados en nombres de archivos cargados permitiría a los atacantes remotos pasar un nombre de archivo especialmente diseñado a la aplicación y ejecutar código arbitrario en el sistema objetivo.  

La falla recibió un puntaje CVSS de 7.1/10 y su explotación exitosa puede resultar en un compromiso total del sistema objetivo, pero requiere que el servidor esté configurado para usar PersistenceManager con un FileStore y que el atacante conozca la ruta relativa del archivo desde la ubicación de almacenamiento.  

El reporte señala que todas las fallas residen en las versiones de JBoss Web Server anteriores a v5.5.0.

Si bien estos errores pueden ser explotados de forma remota por actores de amenazas no autenticados, aún no se detectan intentos de explotación activa o la existencia de malware asociado a la explotación. Los parches de seguridad para abordar estas fallas ya están disponibles, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).