Revisiones

1.0: 26 de octubre de 2018: lanzamiento inicial
1.1: 20 de noviembre de 2018: resumen corregido
1.2: 18 de enero de 2019: enlace adicional para mitigación

Resumen

Vulnerabilidad en la ejecución de comandos remotos del dispositivo NetBackup de Veritas.

Problema Descripción Gravedad Versión reparada

1

Vulnerabilidad en la ejecución de comandos remotos del dispositivo NetBackup

Alta

Dispositivo NetBackup 3.1.2

 

Problemas

Problema n.º 1

Vulnerabilidad en la ejecución de comandos remotos en el dispositivo NetBackup de Veritas que permite a los administradores autenticados ejecutar los ejecutar comandos arbitrarios como raíz. Este problema se originó por un filtrado insuficiente de las entradas proporcionadas por el usuario.

Id. de CVE: CVE-2018-18652
Gravedad: alta
Puntaje base del CVSS v3: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Puntos importantes:

  • Un administrador malintencionado puede utilizar esta vulnerabilidad para eliminar o modificar datos con copia de seguridad sin que se detecte ese cambio o para otros fines, como instalar malware en el dispositivo.
  • Esta vulnerabilidad afecta solamente a las cuentas de administrador del dispositivo; no afecta a las cuentas de usuario.
  • Esta vulnerabilidad afecta solamente al dispositivo NetBackup, no afecta a NetBackup.

Productos afectados

  • Dispositivo NetBackup 3.1.1 y versiones anteriores

Mitigaciones

  • Se conoce una mitigación para este problema. Consulte este enlace para obtener información al respecto.

 

Preguntas

Si tiene alguna pregunta acerca de la información en este aviso de seguridad, póngase en contacto con el Soporte técnico de Veritas.

 

Prácticas recomendadas

Como parte de las prácticas recomendadas normales, Veritas les recomienda lo siguiente a los clientes:

  • Restringir el acceso de los sistemas de administración o gestión a usuarios privilegiados.
  • Restringir el acceso remoto, si es necesario, solo a sistemas de confianza o autorizados.
  • Mantener actualizados todos los sistemas operativos y aplicaciones con los parches más recientes de los proveedores.
  • Adoptar un enfoque de seguridad de varios niveles. Ejecutar aplicaciones de firewall y antimalware, como mínimo, para proporcionar múltiples puntos de detección y protección contra las amenazas entrantes y salientes.
  • Implementar sistemas de detección de intrusos basados en la red y el host para supervisar el tráfico de la red en busca de indicios de actividad anómala o sospechosa. Esto puede ayudar a detectar ataques o actividades maliciosas relacionadas con la explotación de vulnerabilidades latentes.

 

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL", Y TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, ADAPTACIÓN A UN FIN PARTICULAR O NO INCUMPLIMIENTO, NO SON VÁLIDAS, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. Veritas Technologies LLC NO SERÁ RESPONSABLE DE LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043

http://www.veritas.com/

 

© 2017 Veritas Technologies LLC. Todos los derechos reservados. Veritas, el logotipo de Veritas y NetBackup son marcas comerciales o marcas comerciales registradas por Veritas Technologies LLC o sus filiales en los Estados Unidos y en otros países. Los demás nombres pueden ser marcas registradas de sus respectivos propietarios.