La agencia CISA está advirtiendo a contra ataques que explotan vulnerabilidades en los sistemas Cisco y Windows. Si bien la agencia de ciberseguridad ha etiquetado estas fallas como explotadas activamente, aún no ha brindado detalles específicos sobre esta actividad maliciosa y quién está detrás de ella.
La primera falla (identificada como CVE-2023-20118) permite a los atacantes ejecutar comandos arbitrarios en los routers VPN RV016, RV042, RV042G, RV082, RV320 y RV325. Si bien requiere credenciales administrativas válidas, esto aún se puede lograr encadenando la omisión de autenticación CVE-2023-20025, que proporciona privilegios de root.
Cisco dice en un aviso publicado en enero de 2023 y actualizado un año después que su Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) está al tanto del código de explotación de prueba de concepto CVE-2023-20025 disponible públicamente.
El segundo error de seguridad (CVE-2018-8639) es una falla de elevación de privilegios de Win32k que los atacantes locales que inician sesión en el sistema de destino pueden explotar para ejecutar código arbitrario en modo kernel. La explotación exitosa también les permite alterar datos o crear cuentas no autorizadas con derechos de usuario completos para tomar el control de dispositivos Windows vulnerables.
Según un aviso de seguridad emitido por Microsoft en diciembre de 2018, esta vulnerabilidad afecta a las plataformas cliente (Windows 7 o posterior) y servidor (Windows Server 2008 y posteriores).
Hoy, CISA agregó las dos vulnerabilidades a su catálogo de vulnerabilidades conocidas y explotadas (KEV), que enumera los errores de seguridad que la agencia ha etiquetado como explotados en ataques actuales.
Microsoft y Cisco aún no han actualizado sus avisos de seguridad después de que la CISA etiquetara las dos vulnerabilidades como explotadas activamente.
A principios de febrero, la CISA también anunció que una vulnerabilidad crítica de ejecución remota de código (RCE) de Microsoft Outlook (CVE-2024-21413) ahora está siendo explotada en ataques en curso y ordenó a las agencias federales que parchearan sus sistemas antes del 27 de febrero.
Fuente y redacción: segu-info.com.ar
