Alertas de vulnerabilidades de seguridad para productos Hewlett Packard Enterprise
Hewlett Packard Enterprise incorpora las mejores prácticas del sector de TI durante el ciclo de vida de desarrollo del producto para garantizar un sólido enfoque en materia de seguridad. Las prácticas de ingeniería y fabricación de HPE están diseñadas para cumplir los requisitos de seguridad de los productos, proteger la propiedad intelectual de HPE y apoyar al cumplimiento de los requisitos de garantía de productos HPE.
Cuando se emite una nueva vulnerabilidad de seguridad en nivel de sector, HPE investiga su línea de productos para determinar el impacto. Asimismo, se publicarán Boletines de seguridad para los productos que resulten afectados. Estos boletines contienen versiones de productos afectados, junto con una solución al problema (reparar, actualizar o cambiar la configuración).
Puedes suscribirte para recibir notificaciones en tiempo real sobre futuros consejos o boletines de seguridad de HPE para tus productos. Suscríbete a las alertas de tus productos.
El 22 de agosto, Apache anunció una vulnerabilidad en las versiones de Struts 2.3 a 2.3.34 y 2.5 a 2.5.16, que pueden sufrir la ejecución remota de códigos en el contexto de la aplicación. Struts 2 se utiliza en varios productos de HPE. Para obtener más información sobre CVE-2018-11776, consulta el diccionario de CVE de MITRE y la NVD de NIST.
La evaluación del impacto para los productos HPE se encuentra disponible aquí.
Información adicional sobre el Centro de soporte de HPE.
El 14 de agosto de 2018, Intel comunicó la existencia de nuevas vulnerabilidades que afectan a procesadores compatibles con determinadas plataformas HPE. Estas vulnerabilidades, cuando se utilizan con fines malintencionados, presentan el potencial de recabar datos confidenciales de forma indebida.
Estas vulnerabilidades utilizan un método de canal lateral de ejecución especulativa que Intel denomina L1 Terminal Fault (L1TF). En el momento del comunicado, Intel no estaba al tanto de ningún informe que confirmara el uso de L1TF en ataques reales. A principios de 2018 Intel había lanzado microcódigos actualizados, que posteriormente HPE ha facilitado a través de actualizaciones de la ROM de sistema. Si se complementan con nuevas actualizaciones de sistema operativo o de software de hipervisor (ahora disponibles), estos microcódigos actualizados brindan un método para mitigar dichas vulnerabilidades.
Intel ha comunicado que existe una parte del mercado, principalmente un subgrupo que ejecuta tecnología de virtualización tradicional en centros de datos, donde es recomendable tomar medidas adicionales para la protección de los sistemas. Estas medidas pueden incluir la habilitación de funciones de programación específicas de núcleo de hipervisor o la desactivación de la tecnología hyper-threading en contextos específicos. Consulta las recomendaciones que ofrecen proveedores de hipervisores y SO
La evaluación del impacto para los productos HPE se encuentra disponible aquí.
Información adicional sobre el Centro de soporte de HPE.
El 21 de mayo de 2018, se notificó una vulnerabilidad a nivel de sector que afecta a arquitecturas de microprocesadores modernos. Así, nuevas investigaciones sobre seguridad indican que existen métodos de análisis del software que, cuando se utilizan con fines malintencionados, presentan el potencial de recopilar indebidamente datos confidenciales de dispositivos informáticos que funcionan con total normalidad. Actualmente, esta vulnerabilidad se conoce como Speculative Store Bypass o Variant 4 (CVE-2018-3639). Si bien este tipo de vulnerabilidad comparte muchas similitudes con el método de análisis de canal lateral recientemente lanzado, o Spectre y Meltdown, se trata de una nueva vulnerabilidad que requiere nuevas y únicas medidas de mitigación.
La vulnerabilidad denominada Speculative Store Bypass o Variant 4 afecta a las arquitecturas de microprocesadores de múltiples proveedores de CPU, como Intel, AMD y ARM. Para hacer frente a esta vulnerabilidad, los proveedores de hardware y software de todo el sector, incluido HPE, han venido trabajando de forma conjunta con el fin de desarrollar las medidas de reparación adecuadas. De cara a aplicar las medidas de mitigación para productos basados en Intel se precisa tanto una actualización del sistema operativo como una actualización de la ROM del sistema, incluido un nuevo microcódigo de Intel. La mitigación para productos basados en AMD solo requiere la actualización del sistema operativo.
Además, el 21 de mayo de 2018, se notificó otra vulnerabilidad denominada Rogue Register Load o Variant 3A (CVE-2018-3640), que permite al atacante acceder de forma indebida a los registros del procesador. Esta vulnerabilidad afecta solamente a los productos basados en Intel. Para mitigar esta vulnerabilidad solo es necesario actualizar la ROM del sistema incluyendo un nuevo microcódigo de Intel. El mismo microcódigo que se precisa para la mitigación de Speculative Store Bypass o Variant 4 también se podrá utilizar con las vulnerabilidades Rogue Register Load o Variant 3A.
Los procesadores Intel Itanium no están expuestos a las vulnerabilidades Speculative Store Bypass (CVE-2018-3639) y Rogue Register Load (CVE-2018-3640).
La evaluación del impacto para los productos HPE se encuentra disponible aquí.
Información adicional sobre el Centro de soporte de HPE.
El 13 de marzo de 2018, CTS Labs hizo pública información relativa a la investigación de las vulnerabilidades de la seguridad que afectan a determinados productos AMD. En cuanto a los servidores HPE, las vulnerabilidades pertinentes afectan al procesador AMD Secure (PSP) que se utiliza en el procesador AMD EPYC de la serie 7000 que incorporan los servidores HPE ProLiant DL385 Gen10 y HPE Cloudline CL3150 Gen10. Ningún otro producto de servidor de HPE se ve afectado por estas posibles vulnerabilidades.
HPE está trabajando con AMD para determinar el alcance de la vulnerabilidad y cuáles son las precauciones que serían necesarias para mitigar cualquier tipo de exposición. Afortunadamente, el nuevo producto HPE DL385 Gen10 incluye todas las nuevas características de seguridad de HPE, incluida la raíz de confianza de silicio de HPE. Esta nueva tecnología de HPE ofrece protección contra las condiciones títpicas de denegación de servicio puntual o de denegación de servicio permanente que podría causar una parte de esta vulnerabilidad.
Actualizaremos nuestras comunicaciones a medida que HPE, en colaboración con AMD, obtenga más información. Además, puedes consultar la siguiente declaración publicada por AMD el 20 de marzo.
La evaluación del impacto para los productos HPE se encuentra disponible aquí.
Información adicional sobre el Centro de soporte de HPE.
Recientemente, se hicieron públicas las vulnerabilidades de la seguridad de canal lateral (Spectre & Meltdown) que incluyen ejecuciones especulativas. Estas vulnerabilidades pueden afectar a los productos HPE enumerados, lo que podría conllevar a la divulgación de información y a la elevación de privilegios. La mitigación y la reparación de estas vulnerabilidades requieren una actualización del sistema operativo, suministrada por su proveedor de SO, y de la ROM del sistema de HPE. La declaración de alto nivel inicial presentada por Intel se encuentra disponible aquí.
Además, estamos informando a nuestros clientes sobre una declaración de Intel® publicada el 22 de enero de 2018 relativa a los problemas asociados con la reparación de microcódigo de Intel, diseñada para responder a la vulnerabilidad de análisis de canal lateral. Intel recomienda que los clientes dejen de implementar las ROM de sistema para los productos HPE ProLiant, HPE Synergy, HPE Superdome Flex y HPE Superdome X que incluyen la actualización del microcódigo actualizado y reviertan a la versión de ROM del sistema anterior. La evaluación del impacto cuyo enlace aparece a continuación se ha actualizado en consecuencia. Consulta el Paquete de directrices para clientes de HPE y HPE Customer Advisory para obtener más información sobre este problema. Ten en cuenta que el HPE ProLiant DL385 Gen10 con la actualización de microcódigo de AMD está funcionando de acuerdo con su diseño y ha mitigado el riesgo asociado con la vulnerabilidad de análisis de canal lateral.
La evaluación del impacto para los productos HPE se encuentra disponible aquí.
Los enlaces de reparación para los productos HPE afectados están disponibles aquí.
Información adicional sobre el Centro de soporte de HPE
Recientemente, uno de nuestros proveedores, Intel, descubrió una potencial vulnerabilidad de la seguridad en su firmware de Servicios de plataforma de servidor (SPS). Esta vulnerabilidad de la seguridad afectó a varias de las arquitecturas de procesadores. Sin embargo, no todas las arquitecturas de procesadores Intel para servidores afectadas se utilizan en productos HPE. En particular, el firmware SPS/ME utilizado en la arquitectura de Intel puede ponerse en riesgo si se accede físicamente. Así, se puede ejecutar un código no autenticado en el entorno SPS fuera de la visibilidad del usuario y del administrador del sistema operativo.
Estas vulnerabilidades no son exclusivas de los servidores HPE y afectarán a cualquier sistema que utilice arquitecturas de procesadores Intel con revisiones del firmware afectado.
La evaluación del impacto para los productos HPE está disponible en formato HTML y en hoja de cálculo
Información adicional sobre el Centro de soporte de HPE
El 16 de octubre de 2017, los investigadores de seguridad Mathy Vanhoef y Frank Piessens describieron las vulnerabilidades del protocolo Wi-Fi Protected Access II (WPA2) en su informe de investigación "«Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2»". Parte del tráfico del protocolo de enlace del WPA2 vulnerable puede manipularse para inducir la reutilización de un nonce (o número arbitrario) y de la clave de sesión, lo que genera la reinstalación de la clave por medio de un punto de acceso sin cable (AP) o un cliente inalámbrico. Esto permite que un atacante dentro del rango de un punto de acceso o un cliente inalámbrico ejecute un descifrado de paquete arbitrario, inyección de paquetes, suplantación de conexión TCP e inyección de contenido HTTP.
A esta vulnerabilidad se le han asignado los siguientes códigos CVE: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.
La evaluación del impacto para los productos HPE está disponible en formato HTML y en hoja de cálculo
Información adicional sobre el Centro de soporte de HPE
El plugin REST en Apache Struts2 utiliza un XStreamHandler con una instancia de XStream para llevar a cabo la deserialización sin ningún filtrado de tipos. Ello podría provocar una ejecución remota de código al deserializar las cargas útiles XML. Un atacante puede utilizar este fallo para ejecutar códigos arbitrarios o para realizar posteriores ataques.
Para obtener más información sobre CVE-2017-9805, consulta el diccionario de CVE de MITRE y la NVD de NIST.
La evaluación del impacto para los productos HPE está disponible en formato HTML y en hoja de cálculo
Información adicional sobre el Centro de soporte de HPE
El 12 de mayo de 2017, un grupo de agentes desconocidos desplegó un ataque de ransomware contra clientes de Microsoft Windows. El ataque causó el cifrado de ordenadores y servidores como parte de un tipo de ransomware de ataque de denegación de servicio. El 14 de marzo de 2017, Microsoft lanzó MS17-010, una reparación que aborda esta vulnerabilidad. Obtén información adicional sobre esta vulnerabilidad a través de Microsoft - MS17-010 y de NVD - CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2016-0148.
La evaluación del impacto para los productos HPE está disponible en formato HTML y en hoja de cálculo
Información adicional sobre el Centro de soporte de HPE
El 1 de mayo de 2017, Intel comunicó una nueva vulnerabilidad que afecta al firmware de su motor de administración que incorporan algunos sistemas con procesadores Intel. Esta vulnerabilidad permite que una red no privilegiada o un atacante local obtenga el control de las características de administración remota de Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) e Intel Small Business Technology (SBT). Obtén información adicional sobre esta vulnerabilidad en CVE-2017-5689.
La evaluación del impacto para los productos HPE está disponible en formato HTML y en hoja de cálculo
Información adicional sobre el Centro de soporte de HPE
El 6 de marzo de 2017, Apache emitió una nueva vulnerabilidad en Apache Struts 2. La vulnerabilidad permite la ejecución de un código remoto durante la carga de archivos con el Jakarta Multipar Parser utilizado en Apache Struts 2. Este fallo permite que el atacante envíe un encabezado HTTP «content-type» (o tipo de contenido) no válido como parte de la solicitud de carga de archivos, lo que puede dar lugar a la ejecución de un código arbitrario en el sistema vulnerable. Si se explota la vulnerabilidad, el atacante puede robar datos críticos o tomar el control del sistema afectado. Obtén información adicional sobre esta vulnerabilidad en CVE-2017-5638.
HTML de evaluación del impacto en los productos
El 19 de octubre de 2016 se emitió una vulnerabilidad de elevación de privilegios en el kernel de Linux. Se encontró una condición de secuencia en la forma en que el subsistema de la memoria del kernel de Linux gestionaba la ruptura de copia en escritura (COW) de mapeo de memoria de solo lectura privadas. Este fallo permite que un usuario local sin privilegios obtenga acceso de escritura a lo que de otra forma serían mapeos de memoria de solo lectura, obteniendo así mayores privilegios en el kernel de Linux. Esta vulnerabilidad se denomina «Dirty COW». Obtén información adicional sobre esta vulnerabilidad en CVE-2016-5195.
HTML de evaluación del impacto en los productos
El 15 de agosto de 2016 se comunicó una vulnerabilidad denominada «FalseCONNECT», en la implementación de HTTP 407 (autenticación proxy requerida) para el método CONNECT. Como estas solicitudes siempre se realizan en texto sin formato en HTTP, son susceptibles de recibir ataques tipo «man-in-the-middle» que se pueden aprovechar para exponer credenciales de usuario y, en algunas implementaciones, representar HTML y scripts en el DOM cliente dentro de un contexto de seguridad. La inyección y la manipulación de encabezados de autenticación 407 en el contexto del método CONNECT pueden exponer al usuario a phishing y a ataques de degradación de autenticación. Obtén información adicional sobre la vulnerabilidad en CERT VU#905344.
Evaluación del impacto en los productos
El 18 de julio de 2016 se comunicó una vulnerabilidad en la gestión de la variable del entorno HTTP_PROXY de los servidores web, marcos web y lenguajes de programación que se ejecutan en entornos CGI y en entornos similares a CGI conocidos como HTTPoxy. La vulnerabilidad obtiene recursos utilizando la información que suministra el usuario para establecer la variable de entorno HTTP_PROXY sin la validación suficiente. Esta vulnerabilidad podría permitir que un atacante remoto no identificado realice un ataque «man-in-the-middle» (MITM) o redirija el tráfico saliente a un servidor arbitrario pudiendo difundir información confidencial. Obtén información adicional sobre esta vulnerabilidad en CVE-HTTProxy.
HTML de evaluación del impacto en los productos
Hoja de cálculo de evaluación del impacto en los productos
Información adicional
El 1 de marzo de 2016 se emitió un nuevo ataque que se denomina DROWN, que consiste en el descifrado del RSA utilizando un cifrado obsoleto y debilitado. Se trata de un ataque de varios protocolos que explota una vulnerabilidad en SSLv2 para descifrar de forma pasiva las sesiones TLS recopiladas. Obtén información adicional sobre esta vulnerabilidad en CVE-2016-0800.
El 28 de julio de 2015 se anunció una vulnerabilidad que afecta los servidores DNS basados en ISC BIND. Esta vulnerabilidad podría permitir una denegación de servicio accionable de forma remota contra servidores de nombres que ejecutan ISC BIND. Obtén información adicional sobre la vulnerabilidad de gestión de consultas ISC BIND TKEY en CVE-2015-5477.
Información adicional
El 16 de febrero de 2016 se hizo pública una vulnerabilidad de desbordamiento de búfer basado en pilas en la biblioteca GNU C (glibc). El fallo se detectó en la función de biblioteca getaddrinfo() de glibc. Los atacantes pueden hacer uso de las aplicaciones que utilicen esta función ejecutando un código remoto en el dispositivo afectado. Obtén información adicional sobre esta vulnerabilidad en el sitio web de NIST CVE-2015-7547.
Evaluación del impacto en los productos
Información adicional
Descripción general
El 6 de agosto de 2015, en la conferencia sobre seguridad Black Hat celebrada en Las Vegas, el investigador sobre seguridad Christopher Domas demostró cómo instalar un rootkit en el firmware de un PC. Domas denominó la demostración «Memory Sinkhole» (o «sumidero de memoria»). El ataque utilizó una función integrada en chips x86 fabricados desde mediados de 1990 hasta el lanzamiento en 2011 de los procesadores Intel Xeon de la serie E5-2600 (es decir, Sandy Bridge-EP).
Existe un problema de vulnerabilidad en el controlador de interrupciones programable avanzado (APIC), que podría permitir un ataque al área de memoria de modo de gestión del sistema (SMM) utilizada por el sistema operativo para interactuar con entornos de arranque como BIOS, EFI o UEFI. El atacante puede explotar esta vulnerabilidad para utilizar los modos de ejecución más privilegiados y podría llegar a sobrescribir funciones seguras en el entorno de arranque. La demostración utiliza las funciones de código UEFI para instalar un rootkit.
Impacto potencial
HPE investigó el impacto potencial de esta incidencia en nuestros productos empresariales (es decir, servidores, almacenamiento y redes) y determinó que los servidores HPE ProLiant de la serie Gen8 y Gen9 no son vulnerables, ya que Intel anteriormente solventó este fallo de diseño en el procesador Intel Xeon de la serie E5-2600 y en los subsiguientes modelos de procesadores para servidores. Ten en cuenta que el procesador Intel Xeon de la serie E5-2600 se utiliza en servidores ProLiant Gen8.
Además, HPE ha investigado el impacto potencial de esta incidencia en servidores HPE ProLiant de la serie G5, G6 y G7 y determinó que no son vulnerables a los ataques concretos demostrados por Christopher Domas en la conferencia de seguridad Black Hat. Intel ofrece una actualización de microcódigo para estos servidores que evitará una brecha de seguridad potencial, si se realizan intentos por explotar esta vulnerabilidad. Como medida de seguridad añadida, HPE tiene pensado implementar este microcódigo en las ROM del sistema ProLiant actualizadas, que se podrán descargar en el Centro de soporte HPE, de forma gratuita para los clientes.
¿Qué puedes hacer?
Consulta si existen actualizaciones en esta página referentes a la disponibilidad de ROM de sistema actualizadas para los servidores ProLiant de la serie G5, G6 y G7.
El 9 de julio de 2015, OpenSSL anunció un fallo en la forma de verificación de certificados alternativos. Solo afecta a las versiones de OpenSSL lanzadas a partir de junio de 2015: v1.0.2c, v1.0.2b, v1.0.1o y v1.0.1n. La explotación de esta vulnerabilidad podría permitir que un atacante pase ciertas comprobaciones de validación de certificados, lo que le permitiría emitir un certificado no válido. Obtén información adicional sobre la vulnerabilidad VENOM en el sitio web de NIST CVE-2015-1793.
Información adicional
El 13 de mayo de 2015, se anunció una vulnerabilidad en el código de la unidad de disquete virtual que utilizan muchas plataformas de virtualización. El uso de esta vulnerabilidad podría permitir que un atacante escape del invitado de la máquina virtual (VM) afectada y ejecute el código en el host. Obtén información adicional sobre esta vulnerabilidad VENOM en el sitio web de NIST CVE-2015-3456.
Información adicional
El 27 de enero de 2015 se hizo pública una vulnerabilidad de desbordamiento de búfer basado en la biblioteca GNU C (glibc). El fallo se detectó en el conjunto de funciones gethostbyname de la biblioteca GNU C (glibc) y se podía utilizar para ejecutar códigos arbitrarios. Obtén información adicional sobre esta vulnerabilidad en el sitio web de NIST CVE-2015-0235.
Información adicional
El 14 de octubre de 2014, se emitió una vulnerabilidad en el protocolo SSLv3. El uso de esta vulnerabilidad podría permitir que un atacante descifre partes de tráfico cifrado a través de un ataque POODLE (Padding Oracle on Downgraded Legacy Encryption). Obtén información adicional sobre la vulnerabilidad SSLv3 POODLE en el sitio web de NIST CVE-2014-3566.
Información adicional
El 24 de septiembre de 2014, se anunció una vulnerabilidad Bash que afectaba a sistemas operativos basados en Unix como Linux y Mac OS X. El uso de esta vulnerabilidad podría permitir que un atacante ejecute códigos arbitrarios en un sistema afectado. Obtén información adicional sobre esta incidencia en CVE-2014-7169.
Información adicional
El 8 de abril de 2014, se notificó a HP una vulnerabilidad de OpenSSL CVE-2014-0160 (que ahora se conoce como "Heartbleed"). Esta vulnerabilidad tuvo bastante repercusión en los medios. Acuda a la sección de recursos para obtener un vínculo a la entrada de la Base de datos nacional de vulnerabilidades, donde podrá obtener más información. OpenSSL se utiliza en algunos productos HP a fin de ofrecer servicios de cifrado y SSL.
Información adicional