miércoles, 16 de agosto de 2017

Vulnerabilidades en productos Lenovo

Se han detectado varias vulnerabilidades en diversos productos Lenovo. Los errores, de gravedad alta, se corresponden con saltos de restricciones de seguridad, elevación de privilegios dentro del sistema y/o ejecución de código arbitrario.



Lenovo es un conocido fabricante de ordenadores, tabletas, smartphones, servidores, etc. También provee servicios de soporte y tecnología de información de integración, teniendo incluso servicios de acceso a Internet. La compañía es poseedora desde 2005 de la división de ordenadores IBM, convirtiéndose en uno de los fabricantes de ordenadores más grandes del mundo, teniendo los derechos de marcas tan importantes como Thinkpad, Aptiva o Ideapad.

Los errores se detallan a continuación:

  • CVE-2017-3751: Existe un error al no poner entre comillas determinadas rutas de servicios en el driver del ThinkPad Compact USB Keyboard. Un atacante local autenticado podría valerse de este error para escalar privilegios dentro del sistema y potencialmente ejecutar código arbitrario dentro del sistema a través de entradas de rutas de determinados servicios especialmente manipuladas. Esta vulnerabilidad afecta a versiones anteriores a la 1.5.5.0 .

  • CVE-2017-3752: Existe una vulnerabilidad en la implementación del protocolo de red para encaminamiento “Primer Camino Más Corto” (OSPF) en determinados switches Lenovo. Para explotar esta vulnerabilidad, el atacante tendría que controlar un router o dispositivo que soporte OSPF, de modo que mediante el envío de mensajes OSPF especialmente manipulados podría alterar o incluso borrar tablas de encaminamiento de todos los routers o dispositivos dentro del mismo dominio. Esta vulnerabilidad afecta a los dispositivos y versiones indicados en el siguiente enlace: https://support.lenovo.com/es/es/product_security/len-14078

  • CVE-2017-3753: Esta vulnerabilidad se debe a un error en la UEFI (BIOS) desarrollada por American Megatrends (AMI) e incorporada de serie en muchos dispositivos Lenovo. Un atacante con permisos administrativos o acceso físico al sistema podría ser capaz de ejecutar código arbitrario dentro del sistema saltando restricciones de seguridad tales como Device Guard y Hyper-V. AMI ha proporcionado parches para solucionar esta vulnerabilidad, pero aun así se recomienda seguir las siguientes medidas de seguridad:

o    Habilitar arranque seguro en el sistema.
o    Deshabilitar la consola UEFI en el arranque,
o    Deshabilitar cualquier opción de arranque que no sea el disco duro primario.
o    Establecer una contraseña para la BIOS, para asegurarse de que el arranque seguro y el arranque de la consola UEFI no vuelvan a ser re establecidas.
o    Trabajar como “No” administrador dentro del sistema Windows.
o    Ejecutar código o software de fuentes fiables y conocidas.

Esta vulnerabilidad afecta a un amplio número de dispositivos, para ver el listado completo de dispositivos y versiones afectadas: https://support.lenovo.com/es/es/product_security/len-14695
               

Se recomienda actualizar a versiones superiores en todos los dispositivos vulnerables.

Juan Sánchez


Más información:


ThinkPad Compact USB Keyboard with TrackPoint Driver Unquoted Service Path
https://support.lenovo.com/es/es/product_security/len-15061

Industry-wide OSPF routing vulnerability on Lenovo and IBM Networking Switches
https://support.lenovo.com/es/es/product_security/len-14078

BIOS SMI Handler Input Validation Failures
https://support.lenovo.com/es/es/product_security/len-14695