CISA advierte sobre explotación activa de fallas en Zyxel, ProjectSend y CyberPanel

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó múltiples fallas de seguridad que afectan a productos de Zyxel, North Grid Proself, ProjectSend y CyberPanel a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa en la naturaleza.

La lista de vulnerabilidades es la siguiente:

CVE-2024-51378 (puntuación CVSS: 10.0): una vulnerabilidad de permisos predeterminados incorrectos que permite la omisión de la autenticación y la ejecución de comandos arbitrarios utilizando metacaracteres de shell en la propiedad statusfile
CVE-2023-45727 (puntuación CVSS: 7,5): una vulnerabilidad de restricción indebida de la referencia de entidad externa XML (XXE) que podría permitir que un atacante remoto no autenticado realice un ataque XXE
CVE-2024-11680 (puntuación CVSS: 9,8): una vulnerabilidad de autenticación incorrecta que permite a un atacante remoto no autenticado crear cuentas, cargar shells web e incrustar JavaScript malicioso.
CVE-2024-11667 (puntuación CVSS: 7,5): una vulnerabilidad de recorrido de ruta en la interfaz de administración web que podría permitir a un atacante descargar o cargar archivos a través de una URL diseñada.

La inclusión de CVE-2023-45727 al catálogo KEV se produce a raíz de un informe de Trend Micro publicado el 19 de noviembre de 2024, que vinculó su explotación activa a un grupo de ciberespionaje con nexo con China denominado Earth Kasha (también conocido como MirrorFace).

Luego, la semana pasada, el proveedor de ciberseguridad VulnCheck reveló que actores maliciosos habían estado intentando utilizar CVE-2024-11680 como arma ya en septiembre de 2024 para lanzar cargas útiles posteriores a la explotación.

Por otro lado, el abuso de CVE-2024-51378 y CVE-2024-11667 se ha atribuido a varias campañas de ransomware como PSAUX y Helldown, según Censys y Sekoia .

Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien las vulnerabilidades identificadas antes del 25 de diciembre de 2024, para proteger sus redes.

Múltiples errores en enrutadores IO DATA bajo ataque

El desarrollo se produce luego de que JPCERT/CC advirtió que tres fallas de seguridad en los enrutadores IO DATA UD-LT1 y UD-LT1/EX están siendo explotadas por actores de amenazas desconocidos.

CVE-2024-45841 (puntuación CVSS: 6,5): una asignación de permisos incorrecta para una vulnerabilidad de recursos críticos que permite a un atacante con acceso a una cuenta de invitado leer archivos confidenciales, incluidos aquellos que contienen credenciales.
CVE-2024-47133 (puntuación CVSS: 7,2): una vulnerabilidad de inyección de comandos del sistema operativo (SO) que permite a un usuario que haya iniciado sesión con una cuenta administrativa ejecutar comandos arbitrarios.
CVE-2024-52564 (puntuación CVSS: 7,5): una vulnerabilidad de inclusión de características no documentadas que permite a un atacante remoto deshabilitar la función de firewall y ejecutar comandos arbitrarios del sistema operativo o alterar la configuración del enrutador.

Si bien los parches para CVE-2024-52564 están disponibles con el firmware Ver2.1.9, no se espera que las correcciones para las dos deficiencias restantes se publiquen hasta el 18 de diciembre de 2024 (Ver2.2.0).

Mientras tanto, la compañía japonesa recomienda a los clientes que limiten la exposición de la pantalla de configuración a Internet desactivando la administración remota, cambiando las contraseñas predeterminadas de los usuarios invitados y asegurándose de que las contraseñas de administrador no sean fáciles de adivinar.

Fuente y redacción: thehackernews.com

Múltiples errores en enrutadores IO DATA bajo ataque

Descripción general de las principales amenazas de seguridad móvil en 2022

La importancia de la seguridad de las impresoras para evitar ataques.

Europol desmonta una red de estafadores online después de 35.000 fraudes y 18 millones de euros en daños