Especialistas en ciberseguridad reportan la detección de al menos cinco vulnerabilidades críticas en cURL, un proyecto de software consistente en una biblioteca y un intérprete de comandos orientado a la transferencia de archivos. Acorde al reporte, la explotación exitosa de estas fallas permitiría el acceso a información confidencial.
A continuación se presentan breves descripciones de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-22923: La insuficiente protección de las credenciales en la aplicación afectada permite a los actores de amenazas remotos obtener acceso a información confidencial almacenada en el sistema afectado.
La falla recibió un puntaje CVSS de 6.5/10 y su explotación exitosa permitiría a los actores de amenazas comprometer el sistema objetivo por completo.
CVE-2021-22924: Se detectaron algunos errores en la lógica cuando la función de coincidencia de configuración no tiene en cuenta el “certificado del emisor”, comparando las rutas involucradas sin distinción entre mayúsculas y minúsculas.
La vulnerabilidad recibió un puntaje de 4.6/10 y su explotación exitosa permitiría a los hackers remotos obtener acceso a información confidencial en el sistema objetivo.
CVE-2021-22926: Un error en la combinación de la opción CURLOPT_SSLCERT con el transporte seguro de la biblioteca TLS permitiría a los actores de amenazas remotos crear un nombre de archivo con el mismo nombre que la aplicación quiere usar, engañando a la aplicación objetivo para usar el certificado basado en archivos y forzando que libcurl envíe certificados incorrectos en el proceso de handshake TLS.
Esta falla recibió un puntaje CVSS de 5.7/10 y su explotación exitosa podría resultar en el compromiso total del sistema afectado.
CVE-2021-22925: El uso de una variable no inicializada en el código comprometido permitiría a los actores de amenazas remotos forzar una conexión arbitraria entre la aplicación afectada y un servidor malicioso, permitiendo a los hackers leer fragmentos de la memoria no inicializada en el sistema cliente libcurl.
Esta es una falla de severidad media que recibió un puntaje CVSS de 4.1/10.
CVE-2021-22922: La insuficiente validación de la entrada XML proporcionada por el usuario permitiría a un atacante remoto pasar código XML especialmente diseñado a la aplicación afectada y ver el contenido de archivos arbitrarios en el sistema.
La falla recibió un puntaje CVSS de 4.6/10 y su explotación exitosa permitiría a los hackers comprometer por completo los sistemas afectados.
Todas las fallas reportadas residen en las siguientes versiones de cURL: 7.7.1, 7.7.2, 7.7.3, 7.27.0, 7.28.0, 7.28.1, 7.29.0, 7.30.0, 7.31.0, 7.32.0, 7.33.0, 7.34.0, 7.35.0, 7.36.0, 7.37.0, 7.37.1, 7.38.0, 7.39.0, 7.40.0, 7.41.0, 7.42.0, 7.42.1, 7.43.0, 7.44.0, 7.45.0, 7.46.0, 7.47.0, 7.47.1, 7.48.0, 7.49.0, 7.49.1, 7.50.0, 7.50.1, 7.50.2, 7.50.3, 7.51.0, 7.52.0, 7.52.1, 7.53.0, 7.53.1, 7.54.0, 7.54.1, 7.55.0, 7.55.1, 7.56.0, 7.56.1, 7.57.0, 7.58.0, 7.59.0, 7.60.0, 7.61.0, 7.61.1, 7.62.0, 7.63.0, 7.64.0, 7.64.1, 7.65.0, 7.65.1, 7.65.2, 7.65.3, 7.66.0, 7.67.0, 7.68.0, 7.69.0, 7.69.1, 7.70.0, 7.71.0, 7.71.1, 7.72.0, 7.73.0, 7.74.0, 7.75.0, 7.76.0, 7.76.1 y 7.77.0.
Las fallas podrían ser explotadas por actores de amenazas no autenticados, aunque hasta el momento no se han detectado intentos de explotación en escenarios reales o la existencia de una variante de malware asociada al ataque.
Los parches de seguridad ya están disponibles, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.