domingo, 19 de noviembre de 2017

Vulnerabilidad en Ikarus Antivirus

Se ha reportado una vulnerabilidad en Ikarus antivirus de gravedad alta, en la que un atacante remoto podría elevar privilegios dentro del sistema y potencialmente escribir código arbitrario.


Ikarus incorpora una amplia gama de productos de seguridad tanto para usuarios domésticos como para protección de redes empresariales complejas. Cuenta con soporte gratuito, asesoramiento profesional y sus soluciones antivirus se centran en la detección y eliminación de troyanos, virus, spyware y todo tipo de malware.

En el problema reportado, con CVE-2017-14961, es debido a un error de validación de determinados valores de entradas en el driver 'ntguard.sys'. Esto podría ser aprovechado por el atacante malicioso, para elevar privilegios dentro del sistema y leer/escribir código arbitrario a través de entradas especialmente manipuladas.

Este problema fue detectado por el analista de seguridad Parvez Anwar y afecta a las versiones 'Windows' de diferentes productos antivirus Ikarus. 

El fabricante ha proporcionado una herramienta para poder comprobar que versiones son las afectadas:
http://www.ikarussecurity.com/fileadmin/download/IKSA20170002_w32.exe

Se recomienda actualizar a versiones superiores.



Juan Sánchez

Más información:

Ikarus Security
https://www.ikarussecurity.com/

Vulnerability in windows antivirus products (IK-SA-2017-0002)
https://www.ikarussecurity.com/about-ikarus/security-blog/vulnerability-in-windows-antivirus-products-ik-sa-2017-0002/





sábado, 18 de noviembre de 2017

JOLTandBLEED: grave vulnerabilidad en productos Oracle Tuxedo y PeopleSoft

Los investigadores de ERPScan han demostrado públicamente, como una nueva vulnerabilidad afectaría gravemente a varios productos del fabricante Oracle, en concreto la línea Tuxedo y PeopleSoft.

La vulnerabilidad se presentaría en el servidor Java Jolt, integrado en Oracle Tuxedo, servidor de aplicaciones y componente central de muchos productos de la firma. Este nuevo tipo de ataque, que ha recibido la máxima puntuación (10.0 y 9.9) y diferentes CVEs (CVE-2017-10272, CVE-2017-10267, CVE-2017-10278, CVE-2017-10266 y CVE-2017-10269), permitiría a un atacante remoto comprometer el sistema totalmente, revelando información sensible.

Técnicamente, el error es debido a una incorrecta gestión de las comunicaciones en el Jolt Handler (JSH) que permitiría a un atacante enviar paquetes especialmente manipulados para provocar una fuga de datos en el servidor Jolt y recuperar las credenciales de usuario, como se puede ver en el siguiente vídeo publicado:


El ataque, denominado JOLTandBLEED, se asemeja a otro importante ataque, Heartblead, ya que siguen mecanismos similares a la hora de revelar información sensible del servidor.

Por su parte, Oracle ha publicado urgentemente parches para PeopleoSoft y Tuxedo:

  • Oracle PeopleSoft Campus Solutions
  • Oracle PeopleSoft Human Capital Management
  • Oracle PeopleSoft Financial Management
  • Oracle PeopleSoft Supply Chain Management
  • Oracle Tuxedo, versiones 11.1.1, 12.1.1, 12.1.3, 12.2.2

José Mesa
@jsmesa

Más información:

Oracle Security Alert Advisory - CVE-2017-10269:
http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html

PEOPLESOFT JOLTANDBLEED VULNERABILITY:
https://erpscan.com/press-center/blog/peoplesoft-joltandbleed/