Somos una empresa de servicios de seguridad de la información con especialistas en tecnologías McAfee. Más de 16 años de experiencia en el mercado en clientes de diferentes tamaños y tipos (Banca, Industria, Finanzas, Educación, Gobierno, Salud, Minería, Retail, Telcos y Data Centers). Nuestros enfoques están directamente relacionados a optimizar la seguridad dependiendo de las necesidades de los clientes poniendo énfasis en el ahorro de costos y el cumplimiento normativo (SOX, PCI, HIPAA, OWASP, COBIT, ISO27002, entre otras).
contacto@nastec.l +56 9 9479 5826
SolarWinds lanzó el jueves una nueva actualización de su herramienta de monitoreo de redes “Orion” con correcciones para cuatro vulnerabilidades de seguridad.
VULNERABILIDADES:
RCE a través de acciones y deserialización JSON: Se encontró una vulnerabilidad de RCE a través de las acciones de alerta de prueba.
Programador de trabajos de SolarWinds Orion RCE: La vulnerabilidad se puede utilizar para lograr un RCE autenticado como administrador. Para aprovechar esto, un atacante primero necesita conocer las credenciales de una cuenta local sin privilegios en el servidor Orion.
XSS almacenado en la vista personalizar: Se encontró una vulnerabilidad XSS almacenada en la pestaña agregar personalizado dentro de la página de vista personalizada.
Tabnabbing inverso y redireccionamiento abierto: Se MITIGACIÓN:
Se recomienda actualizar a la última versión, “Orion Platform 2020.2.5”.