Esta semana, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) agregó diecisiete vulnerabilidades explotadas activamente al ‘Catálogo de Vulnerabilidades Explotadas Conocidas’.
El «Catálogo de vulnerabilidades explotadas conocidas» es una lista de vulnerabilidades que los actores de amenazas han abusado en los ataques y que las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) deben reparar.
» La Directiva Operativa Vinculante (BOD) 22-01: Reducción del riesgo significativo de vulnerabilidades explotadas conocidas estableció el Catálogo de vulnerabilidades explotadas conocidas como una lista viva de CVE conocidas que conllevan un riesgo significativo para la empresa federal», explica CISA.
«BOD 22-01 requiere que las agencias de FCEB reparen las vulnerabilidades identificadas antes de la fecha de vencimiento para proteger las redes de FCEB contra amenazas activas. Consulte la hoja informativa de BOD 22-01 para obtener más información».
Las vulnerabilidades enumeradas en el catálogo permiten a los actores de amenazas realizar una variedad de ataques, incluido el robo de credenciales, obtener acceso a redes, ejecutar comandos de forma remota, descargar y ejecutar malware o robar información de dispositivos.
Con la adición de estas 17 vulnerabilidades, el catálogo ahora contiene un total de 341 vulnerabilidades e incluye la fecha en la que las agencias deben aplicar actualizaciones de seguridad para resolver el error.
Las diecisiete nuevas vulnerabilidades agregadas esta semana se enumeran a continuación, y CISA requiere que 10 de ellas se parcheen dentro de la primera semana de febrero.
Número CVE | Título CVE | Acción requerida Fecha de vencimiento |
CVE-2021-32648 | Autenticación incorrecta de CMS de octubre | 2/1/2022 |
CVE-2021-21315 | Biblioteca de información del sistema para la vulnerabilidad de inyección de comandos node.js | 2/1/2022 |
CVE-2021-21975 | Falsificación de solicitud del lado del servidor en la vulnerabilidad de la API de vRealize Operations Manager | 2/1/2022 |
CVE-2021-22991 | Vulnerabilidad de desbordamiento de búfer de microkernel de tráfico BIG-IP | 2/1/2022 |
CVE-2021-25296 | Vulnerabilidad de inyección de comandos de Nagios XI OS | 2/1/2022 |
CVE-2021-25297 | Vulnerabilidad de inyección de comandos de Nagios XI OS | 2/1/2022 |
CVE-2021-25298 | Vulnerabilidad de inyección de comandos de Nagios XI OS | 2/1/2022 |
CVE-2021-33766 | Vulnerabilidad de divulgación de información de Microsoft Exchange Server | 2/1/2022 |
CVE-2021-40870 | Vulnerabilidad de carga de archivos sin restricciones del controlador Aviatrix | 2/1/2022 |
CVE-2021-35247 | Vulnerabilidad de validación de entrada incorrecta de SolarWinds Serv-U | 02/04/2022 |
CVE-2020-11978 | Vulnerabilidad de inyección de comandos de Apache Airflow | 18/07/2022 |
CVE-2020-13671 | Vulnerabilidad de carga de archivos sin restricciones de Drupal Core | 18/07/2022 |
CVE-2020-13927 | Vulnerabilidad de omisión de autenticación de la API experimental de Apache Airflow | 18/07/2022 |
CVE-2020-14864 | Oracle Corporate Business Intelligence Enterprise Edition Path Traversal Vulnerability | 18/07/2022 |
CVE-2006-1547 | Vulnerabilidad de denegación de servicio de formulario de acción de Apache Struts 1 | 21/07/2022 |
CVE-2012-0391 | Vulnerabilidad de validación de entrada incorrecta de Apache Struts 2 | 21/07/2022 |
CVE-2018-8453 | Vulnerabilidad de escalada de privilegios Win32k de Microsoft Windows | 21/07/2022 |
De particular interés son las vulnerabilidades CVE-2021-32648 y CVE-2021-35247, que se revelaron esta semana para ser explotadas activamente en ataques.
La vulnerabilidad ‘Autenticación incorrecta del CMS de octubre’ rastreada como CVE-2021-32648 debe repararse antes del 1 de febrero de 2022, debido a su uso reciente para piratear y desfigurar sitios web del gobierno ucraniano .
Si bien Ucrania culpa de estos ataques a Rusia , algunos expertos en seguridad atribuyen los ataques a un grupo de piratería relacionado con Bielorrusia conocido como Ghostwriter .
Microsoft descubrió la nueva vulnerabilidad ‘SolarWinds Serv-U Improper Input Validation’ rastreada como CVE-2021-35247 para ser explotada para propagar ataques Log4j a controladores de dominio de Windows configurados como servidores LDAP.
Si bien los ataques que utilizan la vulnerabilidad Serv-U finalmente fallaron, dado que los controladores de dominio de Windows no son vulnerables a las vulnerabilidades de Log4j, CISA requiere que las agencias solucionen la vulnerabilidad antes del 4 de febrero de 2022.