2 jun. 2020

Publicamos el CVE-2020-8967: SQL Injection al ERP Gesio

Por el 2 jun. 2020 con 0 comentarios
¡Muy buenas!

Ayer se notificó el CVE-2020-8967 con un CVSS 10 que afecta a las últimas versiones del software ERP (Enterprise Resource Planning) de la empresa de desarrollo española GESIO.

Si seguís las notificaciones de alerta temprana de INCIBE-CERT, podréis ver (en esta URL) que los "culpables" de esa vulnerabilidad hemos sido mis compañeros Palma, Diego y yo. En ella encontraréis todos los detalles sobre el problema en cuestión.

Esta vulnerabilidad trata sobre una inyección SQL que encontramos durante un pentest a un cliente que usaba esta herramienta. Al darnos cuenta de la gravedad de la vulnerabilidad (os podéis imaginar hasta qué punto puedes llegar con una SQLi), avisamos a INCIBE para comenzar a gestionar la comunicación de la vulnerabilidad.

Tenemos que decir que GESIO reaccionó muy rápido, corrigiendo la vulnerabilidad en un parche de seguridad en la versión 11.2 liberado el día 9 de abril (comenzamos el proceso de notificación el día 2 de ese mismo mes). Cuando nuestro cliente actualizó su plataforma, pudimos comprobar que, efectivamente, la vulnerabilidad había sido subsanada.



Como entenderéis, no podemos dar muchos más detalles sobre cómo se explotó la vulnerabilidad, ni el alcance que se llegó a tener... pero lo que sí os podemos comentar es que tenemos varios CVEs más en proceso de gestión (ha sido una cuarentena muy intensa).

En los próximos días os hablaremos sobre lo sencillo que es notificar un posible CVE a través del nuevo servicio de INCIBE.

P.D. Un bot de Twitter nos ha puesto nombre al CVE: Chipped Urial. No es el mejor nombre del mundo, pero siempre es mejor que un código numérico que se te va a olvidar con el tiempo, ¿no? :)

¡Saludos!
      editar

0 comentarios:

Publicar un comentario

< >