9VSA21-00434-01 CSIRT alerta por vulnerabilidades zero day en Parallels Desktop
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre dos vulnerabilidades zero day en Parallels Desktop.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre dos vulnerabilidades zero day en Parallels Desktop.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2021-31424
CVE-2021-31427
Impactos
CVE-2021-31427: Esta vulnerabilidad, que existe dentro del componente Open Tools Gate, permite a atacantes locales revelar información sensible en instalaciones afectadas de Parallels Desktop 15.1.5-47309. Para poder explotar esta vulnerabilidad, el atacante debe primero obtener la habilidad de ejecutar código de bajos privilegios en el sistema objetivo.
CVE-2021-31424: Esta vulnerabilidad permite a un usuario local ejecutar código arbitrario en el sistema objetivo, debido a un error dentro del componente Open Tools Gate. Un usuario local puede entregar datos especialmente diseñados a la aplicación, detonar un error de desbordamiento de buffer y ejecutar código arbitrario en el sistema objetivo, resultando en su total compromiso.
Productos Afectados
Parallels Desktop 15.1.5-47309
Mitigación
Instalar las respectivas actualizaciones desde el sitio web del proveedor. La actualización será hecha disponible en https://kb.parallels.com/en/125013.
Enlaces
https://kb.parallels.com/en/125013
https://www.zerodayinitiative.com/blog/2021/4/26/parallels-desktop-rdpmc-hypercall-interface-and-vulnerabilities
https://www.zerodayinitiative.com/advisories/ZDI-21-435/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31424
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31427
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00434-01.