La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el lunes cinco defectos de seguridad que impactaron el software de Cisco, Hitachi Vantara, Microsoft Windows y Progress Whatsup Gold a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basado en evidencia de explotación activa.
La lista de vulnerabilidades es la siguiente –
- CVE-2023-20118 (Puntuación CVSS: 6.5)-Una vulnerabilidad de inyección de comando en la interfaz de gestión basada en la web de los enrutadores de la serie de RV de Cisco Small Business RV que permite a un atacante autenticado y remoto obtener privilegios a nivel de raíz y acceder a datos no autorizados (sin partos debido a los enrutadores que alcanzan el estado de fin de vida)
- CVE-2022-43939 (Puntuación CVSS: 8.6) – Una vulnerabilidad de autorización de autorización en el servidor Hitachi Vantara Pentaho BA que se deriva del uso de rutas de URL no canónicas para las decisiones de autorización (fijado en agosto de 2024 con versiones 9.3.0.2 y 9.4.0.1)
- CVE-2022-43769 (Puntuación CVSS: 8.8) – Una vulnerabilidad de inyección de elementos especiales en el servidor Hitachi Vantara Pentaho BA que permite a un atacante inyectar plantillas de resorte en archivos de propiedades, lo que permite la ejecución de comandos arbitrarios (fijado en agosto de 2024 con las versiones 9.3.0.2 y 9.4.0.1)
- CVE-2018-8639 (Puntuación CVSS: 7.8): un cierre de recursos inadecuado o una vulnerabilidad de liberación en Microsoft Windows Win32k que permite una escalada de privilegios local y autenticado y ejecutar código arbitrario en modo kernel (fijo en diciembre de 2018)
- CVE-2024-4885 (Puntuación CVSS: 9.8) – Una vulnerabilidad de transversal de ruta en progreso WhatsUp Gold que permite a un atacante no autenticado lograr la ejecución de código remoto (fijado en la versión 2023.1.3 en junio de 2024)
Hay pocos o no informes sobre cómo algunos de los defectos antes mencionados se arman en la naturaleza, pero la compañía francesa de ciberseguridad Sekoia reveló la semana pasada que los actores de amenaza están abusando de CVE-2023-20118 a enrutadores susceptibles de cuerda en un botón llamado polaredge.
En cuanto a CVE-2024-4885, la Fundación Shadowserver dijo que ha observado intentos de explotación contra el defecto a partir del 1 de agosto de 2024. Los datos de Greynoise muestran que hasta ocho direcciones IP únicas de Hong Kong, Rusia, Brasil, Corea del Sur y el Reino Unido están vinculadas a la explotación maliciosa de la vulnerabilidad.
A la luz de la explotación activa, se insta a las agencias federales de rama ejecutiva civil (FCEB) a aplicar las mitigaciones necesarias antes del 24 de marzo de 2025 para asegurar sus redes.