Aviso de OpenSSL para APTARE

Historial de revisión

1.0: 23 de diciembre de 2020: versión inicial
1.1: 8 de enero de 2021: se agregó el ID de CVE, se actualizaron las secciones Reparación y Mitigación

Resumen

Como parte de nuestro proceso de pruebas continuo, Veritas ha descubierto un problema en el que APTARE IT Analytics de Veritas podría permitir que un atacante ejecute código arbitrario con privilegios de administrador.

Problema

ID de CVE: CVE-2020-36161
Gravedad: crítica
Puntaje base del CVSS v3.1: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Al iniciarse, la aplicación APTARE carga OpenSSL y esta biblioteca intenta cargar el archivo de configuración que no existe desde las siguientes ubicaciones:

APTARE 10.4 y versiones anteriores: \apache24\conf\openssl.cnf
APTARE 10.5: \usr\local\ssl\openssl.cnf

De forma predeterminada, en los sistemas Windows, los usuarios pueden crear directorios en C:\. Un usuario con pocos privilegios en el sistema Windows y sin ningún privilegio en APTARE puede crear un directorio en las ubicaciones de archivos de configuración citados anteriormente. Cuando se reinicia el sistema Windows, un motor OpenSSL malicioso podría aprovechar la ejecución de código arbitrario como SYSTEM. Esto le da al atacante acceso de administrador en el sistema, permitiendo al atacante (de forma predeterminada) acceder a todos los datos, a todas las aplicaciones instaladas, etc. Además, existe una vulnerabilidad relacionada que permite un acceso similar en los ejecutables de Openssl que Veritas distribuye con APTARE para servidores Linux.

Versiones afectadas

APTARE IT Analytics, versiones 10.5 y 10.4.

Reparación

Los clientes con un contrato de mantenimiento vigente pueden descargar e instalar actualizaciones y parches como se describe a continuación:

Si utiliza APTARE IT Analytics 10.5:

Instale la versión de mantenimiento 10.5P3 de APTARE IT Analytics

Si utiliza APTARE IT Analytics 10.4:

Instale la versión de mantenimiento 10.4P9 de APTARE IT Analytics

Estas versiones de mantenimiento están disponibles en Veritas Update para su descarga e instalación automatizadas.

Si utiliza APTARE IT Analytics 10.3 o una versión anterior, Veritas recomienda que actualice a APTARE IT Analytics 10.5.

Consulte el Centro de descargas de Veritas para obtener actualizaciones disponibles: https://www.veritas.com/support/es_ES/downloads

Mitigación

En las implementaciones de Windows, mediante una cuenta de administrador, cree las rutas de directorio enumeradas anteriormente y configure la ACL en el directorio para denegar el acceso de escritura a todos los demás usuarios. Esto evitará que un atacante instale un motor OpenSSL malicioso. Además, elimine el ejecutable OpenSSL en Windows C:\opt\apache\bin\openssl.exe o en Linux /opt/apache/ssl/bin/openssl. Para obtener pasos manuales más detallados, consulte el Artículo de soporte de vulnerabilidad de seguridad de APTARE IT Analytics.

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, comuníquese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES).