Vulnerabilidad de ejecución remota de código en el componente Apache Struts 2 en productos OneSpan

ID de aviso onespan-sa-20180828-struts

Número de revisión 1.1

Fecha de lanzamiento 28 de agosto de 2018 05:00 PM UTC + 1

Última actualización 31 de agosto de 2018 09:30 AM UTC + 1

Resumen

El 22 de agosto de 2018, el proyecto Apache Struts emitió un boletín de seguridad sobre una vulnerabilidad de ejecución remota de código que existe en Apache Struts 2. Esta vulnerabilidad se conoce como CVE-2018-11776. La vulnerabilidad podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un sistema de destino.

Este aviso de seguridad contiene información sobre los productos OneSpan que han sido afectados por la vulnerabilidad y contiene información sobre la disponibilidad de las revisiones.

Productos impactados

Los siguientes productos OneSpan se ven afectados por la vulnerabilidad CVE-2018-11776:

  • Servidor de autenticación 3.8 y posterior
  • Dispositivo 3.8.9.0 y posterior

Productos afectados

  • Dispositivo IDENTIKEY
  • Servidor de autenticación IDENTIKEY
  • Dispositivo virtual IDENTIKEY

Descripción

La vulnerabilidad existe en Apache Struts porque el software afectado no valida suficientemente la entrada suministrada por el usuario, lo que permite el uso de resultados sin valor de espacio de nombres y el uso de etiquetas de URL sin valor o acción. En los casos en que las acciones o configuraciones superiores tampoco tienen espacio de nombres o un espacio de nombres comodín, un atacante podría aprovechar esta vulnerabilidad enviando una solicitud que envíe información maliciosa a la aplicación afectada para su procesamiento. Si tiene éxito, el atacante podría ejecutar código arbitrario en el contexto de seguridad de la aplicación afectada en el sistema de destino.

Para aprovechar esta vulnerabilidad, un atacante debe enviar una solicitud que envíe datos maliciosos al sistema de destino, lo que dificulta la explotación en entornos que restringen el acceso a la red de fuentes no confiables.

En el ámbito del servidor de autenticación OneSpan, el dispositivo y el dispositivo virtual, la vulnerabilidad está presente en el componente de administración web. La vulnerabilidad solo puede ser explotada por un usuario malintencionado si este usuario tiene acceso a los recursos web del componente de administración web, como la página de inicio de sesión del componente de administración web.

Puntuación de gravedad

La siguiente tabla indica la puntuación de vulnerabilidad CVSS 2.0 de la vulnerabilidad CVE-2018-11776 en los productos de OneSpan.

Puntuación base de CVSS: 6.8 (medio)
Vector de acceso Complejidad de acceso

Autenticación

Impacto de confidencialidad Impacto de integridad Impacto de disponibilidad
Red Medio Ninguna Parcial Parcial Parcial

 

Arreglos de productos

OneSpan está lanzando revisiones para los siguientes productos:

  • Servidor de autenticación 3.8.2, 3.9.1, 3.10.1 R2, 3.11.1 R2, 3.12.2 R3, 3.13.1 R2, 3.14.1 R2, 3.15, 3.16
  • Aparato 3.8.9.0, 3.8.9.1, 3.9.10.1, 3.9.10.0, 3.10.11.0, 3.11.12.1, 3.11.12.0, 3.12.13.0, 3.12.13.1, 3.13.14.0, 3.14.15.0

OneSpan está lanzando parches para los siguientes productos: Appliance 3.16.

Se espera que las revisiones para el servidor de autenticación estén disponibles para fines de la semana del 27 de agosto de 2018. Se espera que las revisiones y parches para Appliance estén disponibles para fines de la semana del 3 de septiembre de 2018.

Para limitar la explotabilidad de la vulnerabilidad, los clientes deben limitar el acceso al componente de administración web tanto como sea posible. 

Ubicación

Los clientes con un contrato de mantenimiento pueden obtener versiones fijas del producto del Portal del cliente. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.

Referencia

[1] https://cwiki.apache.org/confluence/display/WW/S2-057

[2] https://nvd.nist.gov/vuln/detail/CVE-2018-11776

Nota legal

MIENTRAS QUE TODO ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "DISPONIBLES", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. ONESPAN SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, COMO Y CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.

Copyright © 2018 OneSpan North America, Inc. Todos los derechos reservados.

Vulnerabilidad de ejecución remota de código en el componente Apache Struts 2 en el producto OneSpan s