Falla crítica en Telerik Report Server plantea riesgo de ejecución remota de código

XPoint
Publicado el 26/07/2024

Progress Software insta a los usuarios a actualizar sus instancias de Telerik Report Server tras el descubrimiento de una falla de seguridad crítica que podría resultar en la ejecución remota de código.

La vulnerabilidad, identificada como CVE-2024-6327 (puntuación CVSS: 9.9), afecta a la versión 2024 Q2 (10.1.24.514) y anteriores de Report Server.

«En las versiones anteriores a 2024 Q2 (10.1.24.709) de Progress Telerik Report Server, es posible un ataque de ejecución remota de código a través de una vulnerabilidad de deserialización insegura,» señaló la empresa en un aviso.

Las fallas de deserialización ocurren cuando una aplicación reconstruye datos no confiables controlados por un atacante sin una validación adecuada, resultando en la ejecución de comandos no autorizados.

Progress Software dijo que la falla ha sido corregida en la versión 10.1.24.709. Como mitigación temporal, se recomienda cambiar el usuario para el Application Pool del Report Server a uno con permisos limitados.

Los administradores pueden verificar si sus servidores son vulnerables siguiendo estos pasos:

  1. Ir a la interfaz web del Report Server e iniciar sesión con una cuenta de administrador.
  2. Abrir la página de Configuración (~/Configuration/Index).
  3. Seleccionar la pestaña «Acerca de» y el número de versión se mostrará en el panel de la derecha.

La divulgación se produce casi dos meses después de que la empresa parcheara otra falla crítica en el mismo software (CVE-2024-4358, puntuación CVSS: 9.8) que podría ser explotada por un atacante remoto para eludir la autenticación y crear usuarios administradores falsos.

 


 

English

Critical Flaw in Telerik Report Server Poses Remote Code Execution Risk

Progress Software is urging users to update their Telerik Report Server instances after discovering a critical security flaw that could lead to remote code execution.

The vulnerability, identified as CVE-2024-6327 (CVSS score: 9.9), affects Report Server version 2024 Q2 (10.1.24.514) and earlier.

«In Progress Telerik Report Server versions prior to 2024 Q2 (10.1.24.709), a remote code execution attack is possible through an insecure deserialization vulnerability,» the company said in an advisory.

Deserialization flaws occur when an application reconstructs untrusted data controlled by an attacker without proper validation, resulting in the execution of unauthorized commands.

Progress Software said the flaw has been fixed in version 10.1.24.709. As a temporary mitigation, it’s recommended to change the user for the Report Server Application Pool to one with limited permissions.

Administrators can check if their servers are vulnerable by following these steps:

  1. Go to the Report Server web UI and log in using an account with administrator rights.
  2. Open the Configuration page (~/Configuration/Index).
  3. Select the About tab, and the version number will be displayed in the pane on the right.

The disclosure comes nearly two months after the company patched another critical vulnerability in the same software (CVE-2024-4358, CVSS score: 9.8) that could be exploited by a remote attacker to bypass authentication and create rogue administrator users.

Preguntas frecuentes

¿Qué es la deserialización insegura?

+

Permite a un atacante manipular objetos serializados para pasar datos dañinos al código de la aplicación, e incluso, reemplazar un objeto serializado por un objeto de una clase distinta.

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos