Nokia corrigió cinco vulnerabilidades en Nokia NetAct que descubrieron los expertos de Positive Technologies Vladimir Razov y Alexander Ustinov.  Más de 500 proveedores de servicios de comunicaciones utilizan Nokia NetAct para supervisar y controlar redes de telecomunicaciones, estaciones base y otros sistemas. Se notificó al proveedor acerca de la amenaza como parte de la divulgación responsable estándar y se corrigieron las vulnerabilidades en nuevas versiones del software.

“Si explotaba las vulnerabilidades detectadas (realizando inyecciones de ataques de entidad externa [XXE]¹ o falsificación de peticiones del lado del servidor [SSRF]), un atacante podría avanzar lo suficiente en la infraestructura para causar graves daños, hasta incluso deshabilitar algunos componentes. De todos modos, es difícil determinar si esto podría haber tenido un efecto directo sobre los clientes”, explicaron los expertos de Positive Technologies que descubrieron las vulnerabilidades.

Hubo dos vulnerabilidades XXE que resultaron ser las más graves: CVE-2023-26057 y CVE-2023-26058. Ambas recibieron una puntuación de 5,8 en la escala CVSS v3. Estas vulnerabilidades permitían que los atacantes con acceso autorizado a la aplicación importaran archivos XML en las páginas de la interfaz web de NetAct, mientras que el analizador² procesaba entidades externas de forma incorrecta en estos archivos. Al usar entidades externas, los atacantes podían leer datos del sistema de archivos y enviar solicitudes en nombre de la computadora que tenía instalado NetAct. Los datos de entrada no se verificaban y los analizadores XML se configuraban de forma incorrecta.

Otras tres vulnerabilidades recibieron una puntuación de 5,0. Al explotarlas, los atacantes podían realizar secuencias de comandos en sitios cruzados (XSS) y explotar la verificación insuficiente de ciertas entradas de datos en la interfaz de NetAct (CVE-2023-26061) o la posibilidad de cargar un archivo ZIP con parámetros particulares sin verificar su contenido (CVE-2023-26059). Otra vulnerabilidad, CVE-2023-26060, permitía que los atacantes realizaran la inyección de plantilla entre sitios (CSTI).

Las vulnerabilidades se detectaron en NetAct 20 y NetAct 22. Se recomienda a los usuarios instalar NetAct 22 FP2211, la versión con parches del sistema o una más nueva.

Para detectar o bloquear los ataques que explotan las vulnerabilidades descritas, las empresas pueden utilizar firewalls de aplicaciones web, soluciones de protección de endpoints (EDR, XDR) y sistemas de análisis de tráfico de red (NTA).

1. Inyección de entidades externas XML, explotación de una falla de seguridad relacionada con la verificación insuficiente de archivos XML entrantes por parte de la aplicación. Incluido en las 10 principales de OWASP.
2. Un programa que extrae datos de un archivo fuente y lo guarda o usa para acciones posteriores. Todos los navegadores modernos tienen un analizador XML incorporado.