Especialistas en ciberseguridad reportan la detección de múltiples vulnerabilidades en JBoss Enterprise Application Platform (JBoss EAP), una paforma de código abierto desarrollada por Red Hat que permite crear, implementar y alojar aplicaciones y servicios Java altamente transaccionales. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar toda clase de tareas de hacking, además de que hay algunos exploits disponibles públicamente.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-44832: La incorrecta validación de entradas permitiría a los usuarios remotos con permiso para modificar el archivo de configuración de registro construir una configuración maliciosa utilizando un Appender JDBC con una fuente de datos haciendo referencia a un URI JNDI capaz de ejecutar código remoto.
Esta es una falla de severidad media y recibió un puntaje CVSS de 5.8/10.
CVE-2021-45046: Un parche incompleto en Apache Log4j 2.15.0 para una vulnerabilidad de inyección de código permitiría a los actores de amenazas remotos con control sobre los datos de entrada del mapa de contexto de subprocesos realizar ataques de denegación de servicio (DoS) y ejecución de código arbitrario.
Esta es una falla de alta severidad y recibió un puntaje CVSS de 8.1/10. Cabe mencionar que existe un exploit de prueba de concepto (PoC) para esta vulnerabilidad.
CVE-2021-45105: Un loop infinito dentro de la clase StrSubstitutor permitiría a los hackers remotos pasar una entrada especialmente diseñada a la aplicación, lo que conduciría a una condición DoS en el sistema afectado.
La falla recibió un puntaje CVSS de 6.7/10 y existe un exploit PoC disponible públicamente.
CVE-2021-4104: La validación insegura de entradas al procesar datos serializados en JMSAppender permitiría a los hackers con acceso de escritura a la configuración de Log4j proporcionar configuraciones TopicBindingName y TopicConnectionFactoryBindingName para hacer que JMSAppender realice solicitudes JNDI, lo que podría resultar en la ejecución remota de código (RCE).
Esta es una falla de severidad media y recibió un puntaje CVSS de 7.1/10.
CVE-2022-23307/CVE-2020-9493: La validación insegura de entradas al procesar datos serializados permitiría a los actores de amenazas remotos pasar datos especialmente diseñados a la aplicación afectada, resultando en la ejecución de código arbitrario en el sistema comprometido.
Esta es una vulnerabilidad crítica y recibió un puntaje CVSS de 8.5/10.
CVE-2022-23302: La validación de entrada insegura al procesar datos serializados en JMSSink permitiría a los atacantes remotos proporcionar una configuración TopicConnectionFactoryBindingName que haga que JMSSink realice solicitudes JNDI, desencadenando la ejecución de código arbitrario en las implementaciones afectadas.
La vulnerabilidad recibió un puntaje CVSS de 8.5/10.
CVE-2022-23305: La insuficiente desinfección de los datos proporcionados por el usuario en JDBCAppender permitiría a los actores de amenazas enviar solicitudes especialmente diseñadas a la aplicación afectada y ejecutar comandos SQL arbitrarios, lo que pondría en riesgo información confidencial.
Esta es una falla de severidad media y recibió un puntaje CVSS de 6.4/10.
CVE-2021-44228: La validación de entrada incorrecta al procesar solicitudes LDAP permitiría a los hackers maliciosos remotos enviar solicitudes especialmente diseñadas a la aplicación afectada y ejecutar código arbitrario en los sistemas afectados.
Esta es una falla de seguridad crítica y recibió un puntaje CVSS de 9.4/10. Ya se conocen casos de explotación activa de esta falla.
Según el reporte, las fallas residen en todas las versiones de JBoss Enterprise Application Platform entre 7.4.0 y 7.4.3.
El riesgo asociado a estos reportes es crítico y la existencia de los exploits incrementa aún más el riesgo. La buena noticia es que ya hay parches disponibles para abordar estas fallas, por lo que Red Hat recomienda a los usuarios de implementaciones afectadas actualizar de inmediato.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).