Sonatype reveló dos vulnerabilidades críticas en una actualización de seguridad crítica publicada el 13 de noviembre de 2024, que afecta a las versiones Nexus Repository Manager 2.x.
Estas dos vulnerabilidades representan un riesgo significativo para las organizaciones que utilizan las versiones de software afectadas.
Estas dos vulnerabilidades fueron descubiertas y reportadas por Michael Stepankin (artsploit) a través del programa de recompensas por errores de Sonatype.
Las vulnerabilidades han sido identificadas como “CVE-2024-5082” y “CVE-2024-5083”.
Sonatype dice que no tiene conocimiento de ningún exploit en el mercado, pero insta a los usuarios a tomar medidas inmediatas debido a la gravedad de la vulnerabilidad.
Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)
perfil de defecto
Vulnerabilidad de ejecución remota de código (CVE-2024-5082)
La primera vulnerabilidad, CVE-2024-5082, es una falla de ejecución remota de código (RCE) que afecta a todas las versiones OSS/Pro de Sonatype Nexus Repository Manager 2.x hasta 2.15.1. Este problema crítico permite a un atacante ejecutar código arbitrario exponiendo un artefacto Maven especialmente diseñado.
Vector de ataque: un atacante con privilegios mínimos con acceso a la red y la capacidad de exponer artefactos de Maven podría aprovechar esta vulnerabilidad.
Mitigación: Sonatype recomienda encarecidamente actualizar a la versión 2.15.2 del repositorio Nexus, que soluciona esta vulnerabilidad. Para las organizaciones que no pueden actualizar inmediatamente, pueden implementar reglas personalizadas de firewall de aplicaciones web (WAF) como mitigación temporal.
Vulnerabilidad de secuencias de comandos entre sitios almacenadas (CVE-2024-5083)
La segunda vulnerabilidad, CVE-2024-5083, es una falla de secuencias de comandos entre sitios (XSS) almacenada que afecta a las mismas versiones que la vulnerabilidad RCE. Este problema podría permitir que un atacante incruste un script malicioso dentro de un artefacto Maven que podría ejecutarse cuando un administrador vea el contenido del artefacto.
Impacto: la explotación de esta vulnerabilidad podría permitir que un atacante realice operaciones no autorizadas con privilegios de administrador.
Mitigación: al igual que con la vulnerabilidad RCE, la solución recomendada es actualizar a la versión 2.15.2. Alternativamente, las organizaciones que utilizan proxies inversos pueden implementar configuraciones específicas de Nginx para reducir el riesgo.
Sonatype proporcionó las siguientes recomendaciones:
Actualice a Nexus Repository Manager 3 ya que la versión 2.x se encuentra en mantenimiento extendido. Si no puede migrar, actualice a la versión 2.15.2 inmediatamente. Si no es posible realizar la actualización, implemente las reglas WAF proporcionadas o la configuración de Nginx para obtener un alivio inmediato. Evalúe el impacto potencial en su organización y tome las medidas adecuadas.
La divulgación de estas vulnerabilidades resalta la importancia de mantener el software actualizado e implementar medidas de seguridad sólidas. Las organizaciones que utilizan Sonatype Nexus Repository Manager 2.x deben priorizar la solución de estos problemas para proteger sus sistemas de posibles ataques.
El enfoque proactivo de Sonatype a la hora de divulgar y proporcionar estrategias de mitigación demuestra el compromiso de la empresa con la seguridad del usuario y la gestión responsable de las vulnerabilidades.
Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.
