Los desarrolladores de Telerik UI para ASP.NET, el marco de aplicaciones de código abierto para el desarrollo web de páginas dinámicas, recibieron el reporte de una vulnerabilidad que, de ser explotada, permitiría a un atacante la ejecución de código arbitrario. La falla fue reportada por una firma de seguridad informática cuyo nombre no fue revelado.
Como se menciona en el párrafo anterior, la falla permite la ejecución de código arbitrario en el contexto de un proceso con altos privilegios. Dependiendo de los privilegios asociados a la aplicación, un actor de amenazas podría desplegar actividades maliciosas como la instalación de programas, acceso y capacidad de modificación de datos e incluso la creación de cuentas de usuario con privilegios completos. Cabe mencionar que, en caso de que las aplicaciones se configuren con privilegios reducidos, el impacto real de esta vulnerabilidad podría disminuir de forma considerable.
En el reporte, la firma de seguridad informática anónima menciona que la vulnerabilidad existe debido a un problema de deserialización con .NET JavaScriptSerializer mediante RadAsyncUpload, problema que puede ser explotado para conducir a la ejecución de código arbitrario en el servidor, todo en el contexto de un proceso w3wp.exe.
Todos los sistemas Progress Telerik UI para versiones de ASP.NET AJAX anteriores a la versión 2020.1.114 son afectados por la vulnerabilidad. El riesgo reside principalmente en entornos de grandes compañías y organizaciones gubernamentales. Las probabilidades de explotación se reducen en pequeñas y medianas compañías, así como en entornos domésticos.
La vulnerabilidad fue reconocida y abordada por los desarrolladores tan pronto como recibieron el reporte de la firma de seguridad informática. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), entre las principales recomendaciones para prevenir los riesgos de explotación, se encuentran:
- Análisis de los sistemas vulnerables e instalación inmediata de los parches de seguridad lanzados por Telerik
- Verificar que otras aplicaciones web que emplean la interfaz de usuario de Telerik también se actualicen a sus versiones más recientes
- Ejecución de todo el software como un usuario sin privilegios o con privilegios reducidos (sin derechos administrativos) para disminuir el alcance de un potencial ataque exitoso
- Habilitación del Principio de Privilegio Mínimo en todos los sistemas y servicios en uso
Asimismo, se recuerda a los administradores de implementaciones de Telerik que no hay soluciones alternativas para esta falla, por lo que se recomienda instalar los parches oficiales.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
