1.- Vulnerabilidades en FortiMail de Fortinet
Clasificación de la Vulnerabilidad Riesgo: Crítico
Descripción
El equipo de investigadores de FortiGuard Labs ha reportado una vulnerabilidad crítica que afecta a la solución de seguridad de correo electrónico FortiMail, cuya explotación podría permitir a un atacante omitir el proceso de autenticación.
Fecha de publicación: 13/12/2023
Detalle:
Una vulnerabilidad de control de acceso inadecuado en FortiMail, configurado con autenticación RADIUS y remote_wildcard habilitado, podría permitir a un atacante remoto no autenticado eludir el inicio de sesión de administrador a través de una solicitud HTTP maliciosa. Se ha asignado el identificador CVE-2023-47539 para esta vulnerabilidad.
Recursos Afectados
FortiMail, versión 7.4.0.
Referencias de avisos, soluciones y herramientas.
Actualizar FortiMail a la versión 7.4.1 o superiores.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/control-de-acceso-inadecuado-en-fortimail-de-fortinet?sstc=u21405nl493372 Actualizar a las versiones 2.5.33, 6.3.0.2 o posteriores.
2.- Actualización de seguridad de SAP diciembre 2023
Clasificación de la Vulnerabilidad Riesgo: Crítico
Descripción
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Fecha de publicación: 13/12/2023
Detalle:
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de severidad crítica, 4 altas, 7 medias y 2 bajas. También, se han actualizado 3 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas, crítica y altas, publicadas son:
- • escalada de privilegios,
- • control de acceso inadecuado,
- • Cross-Site Scripting (XSS),
- • divulgación de información,
- • falta de validación.
La vulnerabilidad de severidad crítica detectada afecta a la escalada de privilegios de la aplicación SAP Business Technology Platform (SAP BTP). Viéndose vulneradas librerías de integración de servicios de seguridad de SAP BTP diseñadas para simplificar la integración de los servicios de seguridad de SAP BTP como el Servicio de gestión de confianza y autorización de SAP (XSUAA) y otros servicios de identidad. Su explotación permite que un atacante, no autenticado, obtenga permisos arbitrarios, lo que genera un alto impacto en la confidencialidad e integridad de la aplicación.
Se han asignado los identificadores CVE-2023-49583, CVE-2023-50422, CVE-2023-50423 y CVE-2023-50424 para estas vulnerabilidades.
Recursos Afectados Business Technology Platform (BTP) Security Services Integration Libraries:
- • Library-@sap/xssec, versiones anteriores a 3.6.0.
- • Library-cloud-security-services-integration-library, versiones anteriores a 2.17.0 y desde la versión 3.0.0 hasta la versión 3.3.0.
- • Library-sap-xssec, versiones anteriores a 4.1.0.
- • Library-github.com/sap/cloud-security-client-go, versiones anteriores a 0.17.0.
El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.
Referencias de avisos, soluciones y herramientas.
Visitar el portal de soporte de SAP (https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html) e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
3- Actualización de seguridad de Microsoft de diciembre de 2023
Clasificación de la Vulnerabilidad Riesgo: 5 Crítico
Descripción
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de diciembre, consta de 36 vulnerabilidades (con CVE asignado), calificadas 2 como críticas, 23 como importantes y como 11 medias.
Fecha de publicación: 13/12/2023
Detalle:
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- denegación de servicio,
- escalada de privilegios,
- divulgación de información,
- ejecución remota de código,
- suplantación de identidad (spoofing).
Esta actualización mensual de Microsoft corrige 2 vulnerabilidades 0day:
- CVE-2023-35618: elevación de privilegios en Microsoft Edge (Chromium-based);
- CVE-2023-36019: suplantación de identidad (spoofing) en Microsoft Power Platform y Azure Logic Apps.
Los códigos CVE asignados a las vulnerabilidades reportadas pueden consultarse en las referencias.
Recursos Afectados
- Azure Connected Machine Agent
- Azure Machine Learning
- Microsoft Bluetooth Driver
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Office Outlook
- Microsoft Office Word
- Microsoft Power Platform Connector
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows DNS
- Windows Cloud Files Mini Filter Driver
- Windows Defender
- Windows DHCP Server
- Windows DPAPI (Data Protection Application Programming Interface)
- Windows Internet Connection Sharing (ICS)
- Windows Kernel
- Windows Kernel-Mode Drivers
- Windows Local Security Authority Subsystem Service (LSASS)
- Windows Media
- Windows MSHTML Platform
- Windows ODBC Driver
- Windows Telephony Server
- Windows USB Mass Storage Class Driver
- Windows Win32K
- XAML Diagnostics
Solución
Instalar la actualización de seguridad correspondiente. En la página https://www.incibe.es/simplenews-c/u16265nl493372?link=https%3A//msrc.microsoft.com/update-guide/releaseNote/2023-Dec, se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Comentarios recientes