Vulnerabilidades críticas en IBM WebSphere, SAM y MQ Appliance

Especialistas en seguridad en redes de IBM han revelado la detección y corrección de múltiples vulnerabilidades en diversos productos. Según estos reportes de seguridad, la explotación de estas fallas permitiría a los actores de amenazas tomar control completo de la red comprometida, por lo que es necesario actualizar a la brevedad.

El primer problema de seguridad
encontrado es una vulnerabilidad de inyección de entidad externa XML (XXE) en IMB
Security Access Manager v9.0.7.1. La vulnerabilidad, identificada como CVE-2019-4707,
es desencadenada al procesar datos XML; un atacante remoto podría explotar la
falla para exponer información confidencial o agotar la memoria del sistema
objetivo. La falla recibió un puntaje de 7/10 en la escala del Common Vulnerability Scoring System (CVSS).

Hasta ahora no se conocen soluciones alternativas, por lo que se recomienda implementar la actualización de IBM para mitigar el riesgo de explotación de esta vulnerabilidad.

El siguiente reporte se refiere a
la corrección de dos vulnerabilidades en HTTP/2. Algunas implementaciones de
HTTP/2 son vulnerables a loops de recursos, lo que podría conducir a una
condición de denegación
de servicio (DoS). Los actores de amenazas crean múltiples flujos de
solicitudes para generar cambios en el árbol de prioridad, consumiendo los
recursos del CPU. La primera de estas fallas fue identificada como CVE-2019-9513
y recibió un puntaje de 7.5/10 en la escala CVSS, mencionan los expertos en seguridad
en redes.

Por otra parte, CVE-2019-9511 es
una falla que permite manipular el tamaño de la ventana y prioridad de
transmisión para forzar al servidor a poner en cola los datos en fragmentos de
1 byte. Dependiendo de la eficiencia de este proceso, se presentará un exceso
en el consumo de la memoria, del CPU, o incluso de ambos.

Finalmente, se reportó una
vulnerabilidad en WebSphere Application Server ND, que viene incluido con IBM
Security Identity Manager. Acorde a los expertos en seguridad en redes del
Instituto Internacional de Seguridad Cibernética (IICS), la explotación
permitiría a los atacantes acceder a información confidencial debido al envío
de una URL especialmente diseñada. La falla recibió un puntaje de 3.5/10.

IBM abordó las vulnerabilidades
reportadas a la brevedad, por lo que los administradores sólo deben instalar
las correcciones oficiales en los sistemas potencialmente comprometidos. Para
mayores detalles, consulte el sitio oficial de la compañía.