Finalmente, con un puntaje CVSS de 9.9, CVE-2023-23857 es un error de control de acceso inadecuado en SAP NetWeaver AS para Java. “La vulnerabilidad permite que un atacante no autenticado se conecte a una interfaz abierta y haga uso de una API abierta de nombres y directorios para acceder a los servicios”, dijo Onapsis.
La empresa de inteligencia de amenazas propiedad de Google, Mandiant, afirmó más tarde que la vulnerabilidad se ha explotado durante casi un año en ataques dirigidos a empresas e infraestructuras críticas. Google ha lanzado Chrome 111 de su popular navegador, corrigiendo ocho fallas de seguridad, siete de las cuales son errores de seguridad de memoria con una calificación de alta gravedad. Cuatro vulnerabilidades de uso después de liberación incluyen un problema de alta gravedad rastreado como CVE-2023-1528 en Contraseñas y CVE-2023-1529, una falla de acceso a la memoria fuera de los límites en WebHID.
El boletín de seguridad de Google Android March incluye correcciones para más de 50 problemas de seguridad. La más grave es una vulnerabilidad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para la explotación, dijo Google.
Google también reparó ocho problemas en el Marco marcados como de alta gravedad, lo que podría conducir a una escalada de privilegios sin ninguna interacción del usuario.
Entre los errores notables se encuentran fallas en WebKit, el motor que impulsa el navegador Safari, y en el Kernel en el corazón del sistema operativo del iPhone, según la página de soporte de Apple.
Los dispositivos afectados incluyen los de las series S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 y A04, así como las series Pixel 6 y Pixel 7 de Google. Mientras tanto, los investigadores del Proyecto Cero de Google han informado de 18 vulnerabilidades de día cero en los módems Exynos fabricados por Samsung. Los cuatro más graves (CVE-2023-24033, CVE-2023-26496, CVE-2023-26497 y CVE-2023-26498) permiten la ejecución remota de código de Internet a banda base, escribieron los investigadores en un blog. “Las pruebas realizadas por Project Zero confirman que las cuatro vulnerabilidades permiten a un atacante comprometer de forma remota un teléfono a nivel de banda base sin interacción del usuario, y solo requieren que el atacante sepa el número de teléfono de la víctima”, escribieron.
Mientras tanto, CVE-2023-1530 es un error de uso después de liberación en PDF informado por el Centro Nacional de Seguridad Cibernética del Reino Unido, y CVE-2023-1531 es una vulnerabilidad de uso después de liberación de alta gravedad en ANGLE. Uno de los peores es CVE-2023-25616, una vulnerabilidad de inyección de código en SAP Business Objects Business Intelligence Platform. Esta vulnerabilidad en la Consola de administración central permite que un atacante inyecte código arbitrario con un “fuerte impacto negativo” en la integridad, confidencialidad y disponibilidad del sistema, dijo la firma de seguridad Onapsis.
Mozilla, un desarrollador consciente de la privacidad, lanzó Firefox 111 y solucionó 13 vulnerabilidades, siete de las cuales se calificaron como de alto impacto. Estos incluyen tres fallas en Firefox para Android, incluido CVE-2023-25749, que puede haber resultado en la apertura de aplicaciones de terceros sin un aviso.
Si bien los parches de iOS 16.4 no se han utilizado en ataques, Apple también lanzó iOS 15.7.4 para iPhones más antiguos para solucionar 16 problemas, incluida una falla ya explotada. Rastreado como CVE-2023-23529, el error de WebKit podría conducir a la ejecución de código arbitrario, aunque requiere cierta interacción del usuario. El mismo problema se solucionó en iOS 16.3.1 en febrero. Los plazos de los parches variarán según el fabricante, pero los dispositivos Pixel afectados recibieron una solución para las cuatro vulnerabilidades graves de ejecución remota de código de Internet a banda base. Mientras tanto, los usuarios con dispositivos afectados pueden protegerse apagando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) en la configuración de sus dispositivos, dijo Google.
Apple también lanzó macOS Ventura 13.3, Safari 16.4, watchOS 9.4, tvOS 16.4, macOS Big Sur 11.7.5, macOS Monterey 12.6.4, macOS Monterey y macOS Ventura 13.3. Rastreados como CVE-2023-27969 y CVE-2023-27933, los dos exploits de Kernel podrían permitir que un atacante ejecute código. Mientras tanto, Apple solucionó un problema de Sandbox rastreado como CVE-2023-28178 que podría permitir que una aplicación omita las preferencias de privacidad. Microsoft dijo en un aviso que un atacante que explotara con éxito esta vulnerabilidad podría acceder al hash Net-NTLMv2 de un usuario, que luego podría usarse en ataques de retransmisión. “El atacante podría explotar esta vulnerabilidad enviando un correo electrónico especialmente diseñado que se activa automáticamente cuando el cliente de Outlook lo recupera y lo procesa”, dijo la firma, y agregó que podría conducir a la explotación incluso antes de que el correo electrónico se vea en el Panel de vista previa.
Un atacante podría explotar esta vulnerabilidad enviando una solicitud diseñada a la interfaz de administración basada en la web, dijo Cisco, y agregó: "Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado". Mientras tanto, se corrigieron dos errores de seguridad de memoria, CVE-2023-28176 y CVE-2023-28177, en Firefox 111. “Algunos de estos errores mostraron evidencia de corrupción de memoria, y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotado para ejecutar código arbitrario”, dijo Mozilla.
Las actualizaciones de iOS de Apple continúan llegando con rapidez, y el fabricante de iPhone lanzó iOS y iPadOS 16.4 en marzo. La actualización viene con un montón de características nuevas, junto con 33 correcciones bastante importantes para las vulnerabilidades de seguridad de iOS. Algunos de los errores corregidos en iOS 16.4 son bastante graves, aunque no se sabe que ninguno haya sido utilizado en ataques.
Múltiples grandes empresas de tecnología emitieron parches de seguridad cruciales en marzo para corregir los principales agujeros que se utilizan en los ataques de la vida real. El martes de parches de marzo de Microsoft fue grande, mientras que los usuarios de Android de Google deberían estar atentos a la última actualización, especialmente si tienen un dispositivo Samsung. Marzo fue un gran martes de parches para Microsoft, ya que el gigante del software lanzó correcciones para más de 80 fallas, una de las cuales ya se está utilizando en ataques. Con una puntuación CVSS de 9,8, CVE-2023-23397 es un problema crítico en Outlook de Microsoft que aparentemente se ha utilizado en ataques de ciberdelincuentes vinculados a Rusia. Microsoft también emitió un script de detección para ayudar a las personas a detectar el ataque.