Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades críticas en algunas versiones de F-Secure Internet Gatekeeper. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los hackers maliciosos inyectar código en los sistemas afectados.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-33601: La validación incorrecta de entradas en la interfaz web del producto afectado permite a los hackers maliciosos enviar solicitudes especialmente diseñadas y ejecutar código arbitrario en el sistema objetivo.
La vulnerabilidad recibió un puntaje CVSS de 8.5/10 y su explotación exitosa podría resultar en el compromiso total del sistema afectado.
CVE-2021-33600: Por otra parte, un error de afirmación en la interfaz de usuario web dentro del parámetro “usernameL permitiría a los actores de amenazas remotos pasar entradas especialmente diseñadas a la aplicación vulnerable, desencadenando una condición de denegación de servicio (DoS).
Esta es una falla de severidad media y recibió un puntaje CVSS de 6.5/10.
Acorde al reporte, ambas fallas residen en F-Secure Internet Gatekeeper v5.
Aunque las vulnerabilidades podrían ser explotadas por actores de amenazas remotos no autenticados, los expertos en ciberseguridad no han detectado intentos de explotación activa o la existencia de una variante de malware asociada a la explotación de estas fallas.
Las actualizaciones ya están disponibles, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
