CISA ha advertido sobre vulnerabilidades críticas en Airspan Networks Mimosa, algunas de las cuales han obtenido calificaciones de puntuación de gravedad CVSS de 10, la más alta posible.
Cuando las vulnerabilidades de seguridad son graves y los productos a los que afectan son populares o críticos para las operaciones de industrias clave, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a menudo emite avisos para asegurarse de que lleguen a la atención de los administradores de TI y el personal de seguridad.
El jueves, CISA emitió un aviso de este tipo para Airspan Networks Mimosa. Los dispositivos Mimosa se ofrecen a jugadores industriales y empresariales para la implementación de redes punto a multipunto (PTMP).
Se han incluido siete vulnerabilidades en el aviso, que detalla los errores que obtienen puntajes base de CVSS v3 que van desde 6.5 a 10.0.
Los productos de Airspan Networks afectados por las vulnerabilidades son Mimosa Management Platform (MMP) antes de v1.0.3; Dispositivos de la serie C PTP que ejecutan firmware anterior a v2.8.6.1, y dispositivos de la serie C PTMP y A5x que ejecutan firmware anterior a v2.5.4.1. Las vulnerabilidades se han resuelto en versiones posteriores.
También: Operation EmailThief: Vulnerabilidad XSS de día cero en la plataforma de correo electrónico Zimbra revelada
Noam Moshe de Claroty informó sobre los problemas de seguridad, que se dice que se pueden explotar de forma remota y con una complejidad de ataque baja.
«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante obtenga datos de usuario (incluidos detalles de la organización) y otros datos confidenciales, comprometa la instancia EC2 en la nube de AWS de Mimosa y los cubos S3 y ejecute código remoto no autorizado en todos los dispositivos Mimosa conectados a la nube», dice CISA.
Las vulnerabilidades están a continuación:
- CVE-2022-21196 (CVSS 10.0): una falla de autorización incorrecta causada por fallas en la realización de verificaciones de autenticación en múltiples rutas API, lo que lleva a la denegación de servicio, fugas de información y ejecución remota de código (RCE).
- CVE-2022-21141 (CVSS 10.0): fallas adicionales al realizar verificaciones de autorización en las funciones de la API, lo que lleva a los mismos vectores de ataque.
- CVE-2022-21215 (CVSS 10.0): una falla de falsificación de solicitud del lado del servidor (SSRF) que puede ser explotada por un atacante para obligar a un servidor a otorgar acceso a las API de back-end.
- CVE-2022-21176 (CVSS 8.6): La neutralización incorrecta de elementos en comandos SQL. La falta de saneamiento de las entradas del usuario podría provocar inyecciones de SQL y fugas de datos.
- CVE-2022-0138 (CVSS 7.5): una función de deserialización no valida ni verifica la entrada de datos correctamente, lo que permite la creación de clases arbitrarias.
- CVE-2022-21143 (CVSS 9.8): la entrada del usuario no se desinfecta adecuadamente en algunas áreas, lo que brinda a los atacantes la oportunidad de ejecutar comandos arbitrarios.
- CVE-2022-21800 (CVSS 6.5): la línea de productos utiliza el algoritmo MD5 para el hashing de contraseñas, pero no logra saltear el hash, lo que provoca un mayor riesgo de que los datos confidenciales sean susceptibles de intentos de descifrado.
No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza. Airspan Networks recomienda que los clientes actualicen a MMP v.1.0.4 o posterior, PTP C5x/C5c (v2.90 o posterior) y PTMP C-series/A5x v.2.9.0 o posterior.
En enero, CISA actualizó su catálogo de vulnerabilidades conocidas explotadas con 13 nuevas vulnerabilidades. En total, nueve tenían una fecha de remediación del 1 de febrero y cuatro tenían una fecha de remediación del 18 de julio.
Los errores incluyen una falla de inyección de comandos en la biblioteca de información del sistema para node.js, un problema de carga de archivos sin restricciones de Drupal y vulnerabilidades de inyección de comandos en el sistema operativo Nagios XI.
Actualización 6.2, 8:36 a. m. GMT: Airspan Networks Mimosa le dijo a MarketingyPublicidad.es:
«El problema fue identificado en agosto de 2021 por un equipo de investigación de vulnerabilidades de seguridad y se informó a Airspan a través de nuestros procedimientos del Equipo de respuesta a incidentes de seguridad (SIRT).
Inmediatamente abordamos y resolvimos rápidamente estos problemas a través de actualizaciones de firmware y software en los dispositivos, servidores y plataformas en la nube de Airspan de nuestros usuarios, a través del canal adecuado a través del anuncio de CISA y la respuesta de rectificación de Airspan. […] Todos los sistemas se repararon hace meses y los usuarios recibieron información sobre la vulnerabilidad en las versiones posteriores».
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
