29 de octubre de 2020

Estimado usuario de BarTender:

Este es un seguimiento del reciente comunicado de SeagullScientific sobre el descubrimiento de un posible ataque de malware que apunta a una posible vulnerabilidad en versiones anteriores de BarTender 2016 y ciertas actualizaciones de BarTender 2016 a BarTender 2019. A principios de este año se liberaron parches para dar solución a este problema de seguridad.

Tenemos la confirmación de que existe un malware que ha podido utilizar esta vulnerabilidad. También es importante saber que, hasta la fecha, SeagullScientific solo ha tenido un cliente que puede haber tenido un sistema explotado por esta vulnerabilidad. Independientemente, se están comunicando ampliamente con sus clientes y socios por precaución.

Es importante tener en cuenta que este problema de seguridad solo ocurre en algunas situaciones muy limitadas que involucran versiones, lanzamientos y entornos específicos. Aún no se dan a conocer los detalles específicos sobre esta vulnerabilidad para que nuestros clientes puedan actuar rápidamente y tengan tiempo de actualizar sus sistemas. Se publicará un informe completo de esta vulnerabilidad en un futuro próximo.

Nos gustaría compartir con usted lo siguiente:

  • Esta vulnerabilidad de seguridad no se puede aprovechar mediante un ataque a la red.
  • BarTender no causa una infracción, el malware debe aprovechar una vulnerabilidad preexistente en la red.
  • Las instancias de BarTender instaladas como parte de una red aislada o fuera de línea no se ven afectadas
  • La puntuación Base CVSS para esta vulnerabilidad es 7.8. Puede encontrar más información sobre la puntuación CVSS aquí.

 

Versiones / lanzamientos afectados:

Como práctica recomendada, recomendamos a todos los clientes que actualicen periódicamente a la última versión de servicio para su versión del producto. Estas versiones incluyen correcciones para varios problemas de seguridad, estabilidad y rendimiento.

Para los clientes que tienen dificultades para implementar actualizaciones rápidamente, nos gustaría compartir información adicional sobre las versiones de software que se sabe que están afectadas por el exploit.

  • La única versión del software que contiene la falla del software es BarTender 2016 Release 3, y estuvo disponible hasta el 6 de junio de 2017, cuando fue reemplazada por la Release 4.
  • Si esta versión específica nunca se instaló en el sistema, el sistema no se ve afectado
  • Si esta versión específica se instaló y luego se actualizó, el sistema aún puede verse afectado, y recomendamos encarecidamente actualizar su software:
  • BarTender 2016: actualización a la última versión de BarTender 2016 (haga clic aquí)
  • BarTender 2019: Clientes que actualizaron desde BarTender 2016, actualicen a la última versión de BarTender 2019 (haga clic aquí)
  • Todas las demás versiones de BarTender no se ven afectadas

 

Se puede identificar qué edición y versión de BarTender están usando con esta guía (haga clic aquí).

Tenga en cuenta que BarTender solo rastrea la edición actual y la versión actual de BarTender que un cliente ha instalado, y no el lanzamiento de la versión. No podemos decirle si alguna vez instaló BarTender 2016 Release 3.

Sus clientes pueden comunicarse con nuestro soporte técnico si es necesario (haga clic aquí).

Nos disculpamos sinceramente por este inconveniente y le solicitamos que tome acción de inmediato.

 

EN RESUMEN:

Clientes que tengan instalado BarTender versión 2016 con release anterior al R9, se recomienda actualizar al R9.

Clientes que tengan instalado BarTender versión 2019 con release 1 al 6 y que estuvieran haciendo update desde la versión 2016, se recomienda actualizar al R9.

Clientes que hayan instalado BarTender 2019 en cualquier release y que no estuvieran haciendo update desde 2016, NO se ven afectados.

Clientes que tengan cualquier otra versión de Bartender, NO se ven afectados.

 

COMUNICADO ORIGINAL (26-OCT-2020):

Actualización crítica sobre el software BarTender / Notificación de vulnerabilidad y acciones de protección