Boletín de Seguridad UNAM-CERT-2022-023 Vulnerabilidades en software de administración de activos Lansweeper

Descripción:

Investigadores de Cisco Talos han descubierto 6 vulnerabilidades de severidad crítica en Lansweeper, cuya explotación podría permitir lectura y subida de archivos aleatorios o inyección de código JavaScript (CVE-2022-32573, CVE-2022-29517, CVE-2022-29511 , CVE-2022-27498, CVE-2022-28703 y CVE-2022-32763)

Dichas vulnerabilidades detectadas se suman al año en curso, en el que se habían detectado al menos 4 incidentes de seguridad por parte del proveedor Lansweeper, siendo este el peor año del que se tiene registro, rebasando las tres incidencias que se detectaron en el año 2017.

Con lo anterior se han registrado en su totalidad seis tipos de vulnerabilidades detectadas dentro de Lansweeper, en el que gracias a estas nuevas vulnerabilidades el mayor porcentaje lo tienen las vulnerabilidades de Ejecución de Código

Una de las vulnerabilidades detectadas tiene relación con el tipo de ataque de cruce de rutas, cruce de directorios o también conocido como recorrido de ruta, en el que los atacantes logran obtener acceso no autorizado a directorios y archivos restringidos a través de peticiones HTTP. Para mayor información de cómo funciona el ataque puede consultar la siguiente dirección:  https://www.seguridad.unam.mx/ataque-de-cruce-de-rutas 

Productos afectados:

Software de administración de activos Lansweeper

Solución:

Actualizar Lansweeper a una versión superior a 10.1.1.0.

Referencias:

https://www.cvedetails.com/vendor/16541/Lansweeper.html

https://blog.talosintelligence.com/vulnerability-spotlight-lansweeper-directory-traversal-and-cross-