La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes tres fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), según la evidencia de explotación activa.
La lista de deficiencias es la siguiente:
- CVE-2022-47986 (puntaje CVSS: 9.8) – Vulnerabilidad de ejecución de código de IBM Aspera Faspex
- CVE-2022-41223 (puntuación CVSS: 6,8): vulnerabilidad de inyección de código Mitel MiVoice Connect
- CVE-2022-40765 (puntuación CVSS: 6,8): vulnerabilidad de inyección de comandos Mitel MiVoice Connect
CVE-2022-47986 se describe como una falla de deserialización de YAML en la solución de transferencia de archivos que podría permitir que un atacante remoto ejecute código en el sistema.
Assetnote compartió los detalles de la falla y una prueba de concepto (PoC) el 2 de febrero, un día después de lo cual la Fundación Shadowserver dijo que «detectó intentos de explotación» en la naturaleza.
La explotación activa de la falla de Aspera Faspex se produce poco después de que una vulnerabilidad en el software de transferencia de archivos administrado por MFT GoAnywhere de Fortra ( CVE-2023-0669 ) fuera abusada por actores de amenazas con vínculos potenciales con la operación de ransomware Clop.
CISA también agregó dos fallas que afectan a Mitel MiVoice Connect (CVE-2022-41223 y CVE-2022-40765) que podrían permitir que un atacante autenticado con acceso a la red interna ejecute código arbitrario.
Los detalles exactos sobre la naturaleza de los ataques no están claros, pero el año pasado se explotó otra falla en MiVoice Connect para implementar ransomware . Mitel reparó las vulnerabilidades en octubre de 2022.
A la luz de la explotación en estado salvaje, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones necesarias antes del 14 de marzo de 2023 para proteger las redes contra posibles amenazas.
CISA, en un desarrollo relacionado, también publicó un aviso de Sistemas de control industrial (ICS) que aborda fallas críticas (CVE-2022-26377 y CVE-2022-31813) en MELSOFT iQ AppPortal de Mitsubishi Electric.
«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante malicioso tenga impactos no identificados, como eludir la autenticación, la divulgación de información, la denegación de servicio o eludir la autenticación de la dirección IP», dijo la agencia.
Fuente y redacción: thehackernews.com