La agencia CISA está advirtiendo a contra ataques que explotan
vulnerabilidades en los sistemas Cisco y Windows. Si bien la agencia de
ciberseguridad ha etiquetado estas fallas como explotadas activamente, aún no
ha brindado detalles específicos sobre esta actividad maliciosa y quién está
detrás de ella.
La primera falla (identificada como
CVE-2023-20118) permite a los atacantes ejecutar comandos arbitrarios en los routers VPN
RV016, RV042, RV042G, RV082, RV320 y RV325. Si bien requiere credenciales
administrativas válidas, esto aún se puede lograr encadenando la omisión de
autenticación
CVE-2023-20025, que proporciona privilegios de root.
Cisco dice en un aviso publicado en enero de 2023 y actualizado un año después
que su Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) está
al tanto del código de explotación de prueba de concepto CVE-2023-20025
disponible públicamente.
El segundo error de seguridad (CVE-2018-8639) es una falla de elevación de privilegios de Win32k que los atacantes
locales que inician sesión en el sistema de destino pueden explotar para
ejecutar código arbitrario en modo kernel. La explotación exitosa también les
permite alterar datos o crear cuentas no autorizadas con derechos de usuario
completos para tomar el control de dispositivos Windows vulnerables.
Según un aviso de seguridad emitido por Microsoft en diciembre de 2018, esta
vulnerabilidad afecta a las plataformas cliente (Windows 7 o posterior) y
servidor (Windows Server 2008 y posteriores).
Hoy, CISA agregó las dos vulnerabilidades a su catálogo de
vulnerabilidades conocidas y explotadas (KEV), que enumera los errores de seguridad que la agencia ha etiquetado como
explotados en ataques actuales.
Microsoft y Cisco aún no han actualizado sus avisos de seguridad después de
que la CISA etiquetara las dos vulnerabilidades como explotadas activamente en
ataques.
A principios de febrero, la
CISA también anunció que una vulnerabilidad crítica
de ejecución remota de código (RCE) de Microsoft Outlook (CVE-2024-21413) ahora está siendo explotada en ataques en curso y ordenó a las agencias
federales que parchearan sus sistemas antes del 27 de febrero.
Fuente:
BC