China Telecom Group Limited es una gran empresa de telecomunicaciones de China. En mayo de 2024, se descubrió una vulnerabilidad de seguridad crítica en el backend de gestión de la configuración de la puerta de enlace de China Telecom, que permite a actores malintencionados ejecutar comandos arbitrarios en el sistema afectado, lo que puede tener graves consecuencias, como la violación de datos, la toma del control del sistema y la explotación adicional de los recursos de la red.
Vulnerabilidad
La vulnerabilidad de ejecución remota de código ipping.php de China Telecom Gateway Configuration Management Backend se deriva de un manejo inadecuado de las entradas de usuario dentro del sistema de gestión backend. Un atacante puede explotar esta vulnerabilidad enviando peticiones HTTP especialmente diseñadas al script ipping.php.
Las técnicas y tácticas clave utilizadas para explotar esta vulnerabilidad incluyen:
- Inyección de comandos maliciosos: La vulnerabilidad permite a los atacantes inyectar comandos arbitrarios a través de entradas de usuario que no están correctamente desinfectadas. Esto significa que si los campos de entrada en el script ipping.php no filtran adecuadamente caracteres o comandos peligrosos, un atacante puede insertar comandos que serán ejecutados por el sistema.
- Ejecución remota de código (RCE): Aprovechando la vulnerabilidad, los atacantes pueden ejecutar comandos de forma remota en el servidor afectado. La ejecución remota de código es una vulnerabilidad crítica porque otorga a los atacantes la capacidad de ejecutar cualquier código de su elección en el sistema vulnerable, tomando efectivamente el control del mismo.
En este contexto, es probable que ipping.php esté destinado a gestionar operaciones de ping para diagnósticos de red. Sin embargo, debido a la falta de validación de entrada, puede ser manipulado para ejecutar comandos del sistema más allá de su alcance previsto.
Corrección
Solución oficial: Póngase en contacto con China Telecom para obtener el parche que soluciona los fallos de validación de entradas en el script ipping.php. Este parche corregirá las entradas para garantizar que no se puedan inyectar y ejecutar comandos maliciosos.
Implementación de la corrección
Actualice su base de datos de firmas IPS a la versión 3.0.208 y su base de datos de firmas AV a la versión 2.1.558 para asegurarse de que Hillstone Networks Next-Generation Firewall (NGFW), Hillstone Networks Intrusion Prevention System (NIPS), y Hillstone Breach Detection System (BDS) están equipados para detectar y proporcionar protección contra esta vulnerabilidad.
