ISGroup Consultoría de Ciberseguridad

CVE-2022-43939: Omisión de autorización explotada activamente mediante el manejo de URL no canónicas en Pentaho Business Analytics Server

Esta vulnerabilidad afecta al servidor Pentaho Business Analytics de Hitachi Vantara, específicamente a las versiones anteriores a 9.4.0.1, 9.3.0.2 y todas las versiones 8.3.x. La CVE-2022-43939 está siendo explotada activamente en entornos reales, con atacantes que utilizan exploits de prueba de concepto (PoC) disponibles públicamente para comprometer los sistemas vulnerables.

ProductoHitachi Vantara
Fecha2025-03-05 10:30:30
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

La CVE-2022-43939 es causada por la falta de una normalización correcta de las rutas URL durante las decisiones de autorización. Como resultado, un atacante puede crear URL maliciosas para eludir las restricciones de seguridad, obteniendo acceso no autorizado. Además, si se combina con otra vulnerabilidad (CVE-2022-43769), la cadena de exploits puede conducir a la ejecución remota de código sin autenticación, permitiendo a los atacantes ejecutar comandos arbitrarios en el servidor afectado. Las implementaciones de prueba de concepto (por ejemplo, integradas en el framework Metasploit) demuestran cómo esta falla puede ser explotada para ejecutar comandos como el lanzamiento remoto de aplicaciones.

Recomendaciones

  • Actualización inmediata: Realice la actualización a la versión 9.4.0.1 o superior de Pentaho Business Analytics Server para garantizar que la vulnerabilidad esté corregida.
  • Reforzar los filtros de autorización: Implemente un conjunto más restrictivo de filtros de autorización dentro de la configuración de seguridad para reducir el riesgo de explotación.
  • Realizar una evaluación de seguridad: Revise la implementación actual para identificar exposiciones adicionales y verificar que todas las configuraciones de seguridad estén alineadas con las mejores prácticas.
  • Monitorear los indicadores de compromiso (IoC): Considerando la explotación activa, las organizaciones deben monitorear los registros en busca de actividades sospechosas, incluidos intentos de acceso no autorizado y ejecuciones de comandos inesperadas.

[Callforaction-THREAT-Footer]

In