CISA (Cybersecurity & Infraestructure Security Agency) ha añadido 15 nuevos problemas de seguridad a su Catálogo de Vulnerabilidades Conocidas Explotadas (Known Exploited Vulnerabilities Exploited Catalog). Estas vulnerabilidades se utilizan en vectores de ataque frecuentes dirigidos a las agencias federales.
El catálogo de vulnerabilidades forma parte de la Directiva Operativa Vinculante (BOD) 22-01, cuyo objetivo es mejorar la gestión de las vulnerabilidades de los organismos civiles federales y reducir los riesgos de seguridad.
Viejos fallos en funcionamiento
La agencia publicó una nueva lista de vulnerabilidades tras descubrir pruebas de que los fallos de seguridad se están utilizando activamente en ataques en curso.
- De las 15 entradas, sólo cuatro son recientes y el resto tienen varios años de antigüedad.
- El fallo más antiguo es de 2013, que se rastrea como CVE-2013-3900, y que afecta a las versiones de Windows desde XP SP2 hasta Server 2012.
- Otra vulnerabilidad es de 2015, un fallo RCE en IBM Server Hy Server Hypervisor Edition y WebSphere Application Server, rastreado como CVE-2015-7450.
El organismo exige que los organismos civiles federales corrijan tres fallos antes del 24 de enero, y el resto antes del 10 de julio.
La tabla de vulnerabilidades conocidas
La agencia ha facilitado una lista de vulnerabilidades conocidas en múltiples productos de varios proveedores, como Oracle, Hikvision, FatPipe, VMware, Palo Alto Networks, Fortinet e IBM, entre otros.
- Las vulnerabilidades calificadas de gravedad crítica incluyen CVE-2019-10149 (Exim Mail), CVE-2015-7450 (IBM WebSphere Application Server), CVE-2017-1000486 (Primetek Primefaces), CVE-2019-7609 y CVE-2013-3900 (Elastic Kibana), CVE-2019-2725 (Oracle WebLogic Server) y CVE-2019-9670 (Synacor Zimbra).
- Las vulnerabilidades calificadas de alta gravedad incluyen CVE-2021-36260 (Hikvision), CVE-2021-27860 (FatPipe), CVE-2020-6572 (Google Chrome), CVE-2019-1458 (Microsoft Win32K), CVE-2019-1579 (PAN-OS) y CVE-2018-13382 (Fortinet FortiOS).
- Además, la lista incluye algunas vulnerabilidades de gravedad media: CVE-2021-22017 (VMware vCenter Server) y CVE-2018-13383 (Fortinet FortiOS).
Conclusión
La reciente alerta señala el hecho de que los ciberataques en curso están explotando activamente antiguas vulnerabilidades. El CISA recomienda encarecidamente a todas las organizaciones que reparen las vulnerabilidades enumeradas en el catálogo. Además, se recomienda implementar un programa de gestión de parches adecuado para una mejor protección.
Fuente: https://cyware.com/news/cisa-warns-federal-agencies-to-patch-old-vulnerabilities-737107f6