La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó 95 vulnerabilidades a su lista de problemas de seguridad explotados activamente, el mayor número desde que emitió la directiva operativa vinculante (BOD) el año pasado.
A pesar de que algunos de ellos se conocen desde hace casi dos décadas, la agencia señala que los errores “representan un riesgo significativo para la empresa federal”.
Errores críticos recientes en la lista
De acuerdo con BOD 22-01 para reducir el riesgo de vulnerabilidades explotadas conocidas, las agencias federales tienen un poco más de tres semanas para parchear las 95 fallas de seguridad recientemente agregadas, la fecha límite para la mayoría de ellas es el 24 de marzo.
Para 27 de las vulnerabilidades hay un plazo más corto para parchear, el 17 de marzo, principalmente porque son más recientes y afectan sistemas que dan acceso a información sensible o permiten moverse a dispositivos en la red. Ocho de estos errores tienen una puntuación de gravedad crítica alta de al menos 9,8.
| CVE | Proveedor/Proyecto | Producto |
|---|---|---|
| CVE-2022-20708 | cisco | Enrutadores de las series RV160, RV260, RV340 y RV345 para pequeñas empresas |
| CVE-2022-20703 | cisco | Enrutadores de las series RV160, RV260, RV340 y RV345 para pequeñas empresas |
| CVE-2022-20701 | cisco | Enrutadores de las series RV160, RV260, RV340 y RV345 para pequeñas empresas |
| CVE-2022-20700 | cisco | Enrutadores de las series RV160, RV260, RV340 y RV345 para pequeñas empresas |
| CVE-2022-20699 | cisco | Enrutadores de las series RV160, RV260, RV340 y RV345 para pequeñas empresas |
| CVE-2020-1938 | apache | Gato |
| CVE-2019-16928 | Exim | Correo de Internet Exim |
| CVE-2018-0151 | cisco | Software IOS y IOS XE |
Las últimas entradas en el catálogo de CISA de vulnerabilidades conocidas afectan a los productos principalmente de Microsoft (Windows, Office) y Cisco.
Sin embargo, también están presentes productos de otros proveedores o proyectos: Oracle, Adobe, Mozilla, Siemens, Apache, Exim, Linux, Treck TCP/IP stack y ChakraCore.
Defectos antiguos aún presentes
Por extraño que parezca, parece que las agencias federales todavía están ejecutando sistemas con Adobe Flash Player, aunque el soporte para el producto se detuvo el último día de 2020.
Adobe, a principios de 2021, también bloqueó la ejecución del contenido Flash en Flash Player y la empresa «recomienda encarecidamente a todos los usuarios que lo desinstalen de inmediato» debido a los riesgos de seguridad inherentes.
Algunos de los errores de Flash Player identificados por CISA tienen una puntuación de gravedad crítica de 9,8 sobre 10 y tienen más de cinco años (por ejemplo , CVE-2016-4117 y CVE-2016-1019 ).
Sin embargo, la vulnerabilidad más antigua de la lista es de 2002, una vulnerabilidad de escalada de privilegios rastreada como CVE-2002-0367 que afecta al subsistema de depuración smss.exe en Windows NT y Windows 2000 Windows.
La siguiente tabla enumera las 10 vulnerabilidades más antiguas que CISA agregó esta semana a su Catálogo de vulnerabilidades explotadas conocidas :
| CVE | Proveedor/Proyecto | Producto | Nombre de vulnerabilidad | Breve descripción |
|---|---|---|---|---|
| CVE-2011-0611 | Adobe | Reproductor Flash | Vulnerabilidad de ejecución remota de código de Adobe Flash Player | Adobe Flash Player contiene una vulnerabilidad que permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (caída de la aplicación) a través de contenido Flash manipulado. |
| CVE-2010-3333 | microsoft | Oficina | Vulnerabilidad de desbordamiento de búfer basado en Microsoft Office Stack | Existe una vulnerabilidad de desbordamiento de búfer basada en pila en el análisis de datos RTF en Microsoft Office y anteriormente permite a un atacante realizar la ejecución remota de código. |
| CVE-2010-0232 | microsoft | Núcleo de Windows | Vulnerabilidad del controlador de excepciones del kernel de Microsoft Windows | El kernel de Microsoft Windows, cuando el acceso a aplicaciones de 16 bits está habilitado en una plataforma x86 de 32 bits, no valida correctamente ciertas llamadas al BIOS, lo que permite que los usuarios locales obtengan privilegios. |
| CVE-2010-0188 | Adobe | lector y acróbata | Vulnerabilidad de ejecución de código arbitrario de Adobe Reader y Acrobat | Una vulnerabilidad no especificada en Adobe Reader y Acrobat permite a los atacantes provocar una denegación de servicio o posiblemente ejecutar código arbitrario. |
| CVE-2009-3129 | microsoft | Sobresalir | Vulnerabilidad de daños en la memoria del registro de encabezado de Microsoft Excel | Microsoft Office Excel permite a atacantes remotos ejecutar código arbitrario a través de una hoja de cálculo con un registro FEATHEADER que contiene un elemento de tamaño cbHdrData no válido que afecta el desplazamiento del puntero. |
| CVE-2009-1123 | microsoft | ventanas | Vulnerabilidad de validación de entrada incorrecta de Microsoft Windows | El kernel de Microsoft Windows no valida correctamente los cambios en los objetos del kernel no especificados, lo que permite a los usuarios locales obtener privilegios a través de una aplicación diseñada. |
| CVE-2008-3431 | Oráculo | caja virtual | Vulnerabilidad de validación de entrada insuficiente de Oracle VirtualBox | Existe una vulnerabilidad de validación de entrada en el controlador VBoxDrv.sys de Sun xVM VirtualBox que permite a los atacantes ejecutar localmente código arbitrario. |
| CVE-2008-2992 | Adobe | acróbata y lector | Vulnerabilidad de validación de entrada de Adobe Reader y Acrobat | Adobe Acrobat y Reader contienen un problema de validación de entrada en un método de JavaScript que podría conducir a la ejecución remota de código. |
| CVE-2004-0210 | microsoft | ventanas | Vulnerabilidad de escalada de privilegios de Microsoft Windows | Existe una vulnerabilidad de elevación de privilegios en el subsistema POSIX. Esta vulnerabilidad podría permitir que un usuario registrado tome el control completo del sistema. |
| CVE-2002-0367 | microsoft | ventanas | Vulnerabilidad de escalada de privilegios de Microsoft Windows | El subsistema de depuración smss.exe en Microsoft Windows no autentica correctamente los programas que se conectan a otros programas, lo que permite a los usuarios locales obtener privilegios de administrador o de SISTEMA. |
Con las 95 vulnerabilidades agregadas esta semana , el catálogo de CISA de errores explotados activamente para que las agencias federales los aborden tiene un total de 478 entradas.
La aplicación de actualizaciones de seguridad a medida que estén disponibles debe ser una prioridad para las organizaciones tanto del sector público como del privado.
La agencia de seguridad cibernética de EE. UU. alienta a todas las entidades a remediar todos los problemas de seguridad agregados a su catálogo para reducir su exposición a los ataques cibernéticos.
