 |
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha añadido tres fallos de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), alegando indicios de explotación activa. |
La lista de vulnerabilidades es la siguiente
- CVE-2022-35914 (puntuación CVSS: 9,8) - Vulnerabilidad de ejecución remota de código Teclib GLPI
- CVE-2022-33891 (puntuación CVSS: 8,8) - Vulnerabilidad de inyección de comandos de Apache Spark
- CVE-2022-28810 (CVSS score: 6.8) - Vulnerabilidad de ejecución remota de código en Zoho ManageEngine ADSelfService Plus
El más crítico de los tres es CVE-2022-35914, que se refiere a una vulnerabilidad de ejecución remota de código en la biblioteca de terceros htmlawed presente en Teclib GLPI, un paquete de software de gestión de activos y TI de código abierto.
Se desconocen los detalles exactos de la naturaleza de los ataques, pero la Fundación Shadowserver señaló en octubre de 2022 que había visto intentos de explotación contra sus honeypots.
Desde entonces, se ha puesto a disposición en GitHub una prueba de concepto (PoC) de una línea basada en cURL y se ha anunciado la venta de un escáner "masivo", según declaró en diciembre de 2022 Jacob Baines, investigador de seguridad de VulnCheck.
Además, los datos recopilados por GreyNoise han revelado 40 direcciones IP maliciosas de Estados Unidos, Países Bajos, Hong Kong, Australia y Bulgaria, que intentan abusar del fallo.
El segundo fallo es una vulnerabilidad de inyección de comandos no autenticados en Apache Spark que ha sido explotada por la red de bots Zerobot para cooptar dispositivos susceptibles con el objetivo de llevar a cabo ataques distribuidos de denegación de servicio (DDoS).
Por último, también se ha añadido al catálogo KEV un fallo de ejecución remota de código en Zoho ManageEngine ADSelfService Plus que fue parcheado en abril de 2022.
"Múltiples Zoho ManageEngine ADSelfService Plus contienen una vulnerabilidad no especificada que permite la ejecución remota de código al realizar un cambio o restablecimiento de contraseña", dijo CISA.
La empresa de ciberseguridad Rapid7, que descubrió el fallo, dijo que detectó intentos activos de explotación por parte de los atacantes para "ejecutar comandos arbitrarios del sistema operativo con el fin de ganar persistencia en el sistema subyacente y tratar de pivotar más en el medio ambiente."
El desarrollo se produce cuando la firma de seguridad de API Wallarm dijo que ha encontrado intentos de explotación en curso de dos fallas de VMware NSX Manager (CVE-2021-39144 y CVE-2022-31678) desde diciembre de 2022 que podrían aprovecharse para ejecutar código malicioso y desviar datos confidenciales.
Actualización: CISA añade CVE-2021-39144 al Catálogo KEV#.
El 10 de marzo de 2023, CISA añadió CVE-2021-39144 a su catálogo de fallos de seguridad explotados in the wild, junto con CVE-2020-5741, un fallo de ejecución remota de código que afecta a Plex Media Server y que fue explotado en la brecha de LastPass.
El proveedor de servicios de virtualización VMware también ha revisado su aviso de octubre de 2022 para confirmar los informes de explotación activa de CVE-2021-39144.
Fuente: https://thehackernews.com/2023/03/cisas-kev-catalog-updated-with-3-new.html