Nivel de peligrosidad: CRÍTICO.
Oracle, popular compañía de software, ha publicado el aviso de seguridad correspondiente al mes de enero. En el informe se abordan 327 vulnerabilidades, teniendo 19 de ellas una severidad crítica, detectadas en el pasado año, y que afectan a varios productos de la compañía. El fabricante recomienda a los clientes que actualicen sus productos a las versiones con soporte activo y que apliquen sin demora los parches de seguridad que se sugieren para cada caso.
A continuación, se detalla la vulnerabilidad cuya severidad es crítica y que ha sido detectada recientemente. Cabe señalar que en el aviso de Oracle se destacan detalles de las vulnerabilidades reportadas como el CVE asignado, el producto, versión afectada y la criticidad atribuida.
|
CVE |
Descripción |
|
CVE-2023-21890 |
Vulnerabilidad que existe debido a una validación de entrada inadecuada dentro del componente Core en Oracle Communications Converged Application Server. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para ejecutar código arbitrario. |
La base de datos del NIST ha registrado estas vulnerabilidades, habiendo recibido una puntuación crítica de acuerdo a la escala CVSSv3. Asimismo, según el fabricante, 19 de las vulnerabilidades descritas en el aviso de enero han sido calificadas con una severidad crítica. Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados. Oracle continúa recibiendo periódicamente informes de intentos de explotar maliciosamente vulnerabilidades para las que la compañía ya ha publicado parches de seguridad. En algunos casos, se ha informado que los atacantes han tenido éxito porque los clientes objetivo no habían aplicado los parches de Oracle disponibles. Por lo tanto, se recomienda encarecidamente que los clientes actualicen a las versiones con soporte activo.
Recursos afectados:
Las versiones afectadas por la anterior vulnerabilidad son las siguientes:
- Oracle Communications Converged Application Server - Versiones 7.1.0 - 8.0.0
Asimismo, hay que tener en cuenta que hay muchas otras versiones y productos afectados por estas vulnerabilidades (327 en total con diversas criticidades), por lo que se debe consultar la información proporcionada por Oracle para obtener más detalles.
Solución a las vulnerabilidades:
Oracle ha publicado las actualizaciones para cada producto en la sección de “Productos afectados e información sobre parches” de su boletín de seguridad del mes de enero por lo que se recomienda visitar los enlaces disponibles para cada producto concreto, siendo necesario autenticarse como cliente para acceder a la documentación sobre los parches e instrucciones de instalación.
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad oficiales publicados por el fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.
Referencias:
