Alerta: Explotación activa de vulnerabilidades de TP-Link, Apache y Oracle detectadas

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado tres fallas al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), según la evidencia de explotación activa.

Las vulnerabilidades de seguridad son las siguientes:

CVE-2023-1389 (puntaje CVSS: 8.8) – Vulnerabilidad de inyección de comando TP-Link Archer AX-21
CVE-2021-45046 (puntuación CVSS: 9,0) – Vulnerabilidad de deserialización de Apache Log4j2 de datos no confiables
CVE-2023-21839 (puntuación CVSS: 7,5): vulnerabilidad no especificada del servidor Oracle WebLogic

CVE-2023-1389 se refiere a un caso de inyección de comandos que afecta a los enrutadores TP-Link Archer AX-21 que podrían explotarse para lograr la ejecución remota de código. Según la iniciativa Zero Day de Trend Micro, los actores de amenazas asociados con la botnet Mirai han utilizado la falla desde el 11 de abril de 2023.

La segunda falla que se agregará al catálogo de KEV es CVE-2021-45046, una ejecución remota de código que afecta la biblioteca de registro Apache Log4j2 que salió a la luz en diciembre de 2021.

Actualmente no está claro cómo se abusa de esta vulnerabilidad específica, aunque los datos recopilados por GreyNoise muestran evidencia de intentos de explotación de hasta 74 direcciones IP únicas en los últimos 30 días. Sin embargo, esto también incluye CVE-2021-44228 (también conocido como Log4Shell).

Completa la lista un error de alta gravedad en Oracle WebLogic Server versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0 que podría permitir el acceso no autorizado a datos confidenciales. Fue parcheado por la compañía como parte de las actualizaciones lanzadas en enero de 2023.

«Oracle WebLogic Server contiene una vulnerabilidad no especificada que permite que un atacante no autenticado con acceso a la red a través de T3, IIOP, comprometa Oracle WebLogic Server», dijo CISA.

Si bien existen explotaciones de prueba de concepto ( PoC ) para la falla, no parece haber ningún informe público de explotación maliciosa .

Las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben aplicar las correcciones proporcionadas por los proveedores antes del 22 de mayo de 2023 para proteger sus redes contra estas amenazas activas.

El aviso también llega poco más de un mes después de que VulnCheck revelara que faltan en el catálogo de KEV casi cuatro docenas de fallas de seguridad que probablemente se usaron como armas en la naturaleza en 2022.

De las 42 vulnerabilidades, una abrumadora mayoría está relacionada con la explotación por parte de redes de bots similares a Mirai (27), seguidas por pandillas de ransomware (6) y otros actores de amenazas (9).

Fuente y redacción: thehackernews.com

CISA advierte sobre piratas informáticos que explotan la función Smart Install heredada de Cisco

CISA advierte sobre ataques activos que explotan fallas en los controladores de Fortra MFT, TerraMaster NAS e Intel

CISA advierte sobre ataques cibernéticos continuos dirigidos a dispositivos UPS conectados a Internet