La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes 10 nuevas vulnerabilidades explotadas activamente a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) , incluida una vulnerabilidad de seguridad de alta gravedad que afecta el software de automatización industrial de Delta Electronics.
La vulnerabilidad, rastreada como CVE-2021-38406 (puntaje CVSS: 7.8), afecta las versiones 2.00.07 y anteriores de DOPSoft 2. Una explotación exitosa de esta puede conducir a la ejecución de código arbitrario.
“Delta Electronics DOPSoft 2 carece de la validación adecuada de los datos proporcionados por el usuario al analizar archivos de proyectos específicos (validación de entrada incorrecta), lo que resulta en una escritura fuera de los límites que permite la ejecución del código”, dijo CISA en una alerta.
Vale la pena señalar que CVE-2021-38406 se divulgó originalmente como parte de un aviso de sistemas de control industrial (ICS) publicado en septiembre de 2021.
Sin embargo, no hay parches que aborden la vulnerabilidad, y CISA señala que “el producto afectado está al final de su vida útil y debe desconectarse si todavía está en uso”. Las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) tienen el mandato de seguir la directriz antes del 15 de septiembre de 2022.
No hay mucha información disponible sobre la naturaleza de los ataques que explotan la vulnerabilidad de seguridad, pero un informe reciente de la Unidad 42 de Palo Alto Networks señaló instancias de ataques en estado salvaje que aprovecharon la vulnerabilidad entre febrero y abril de 2022.
El desarrollo agrega peso a la noción de que los adversarios se están volviendo más rápidos en la explotación de vulnerabilidades recién publicadas cuando se divulgan por primera vez, lo que lleva a intentos de escaneo indiscriminados y oportunistas que tienen como objetivo aprovechar la aplicación de parches retrasada.
Estos ataques a menudo siguen una secuencia específica de explotación que involucra web shells, criptomineros, botnets y troyanos de acceso remoto (RAT), seguidos de intermediarios de acceso inicial (IAB) que allanan el camino para el ransomware.
Entre otros defectos explotados activamente agregados a la lista están los siguientes:
- CVE-2022-26352 : Vulnerabilidad de carga de archivos sin restricciones de dotCMS
- CVE-2022-24706 : vulnerabilidad de inicialización predeterminada insegura de recursos de Apache CouchDB
- CVE-2022-24112 : vulnerabilidad de omisión de autenticación APISIX de Apache
- CVE-2022-22963 : Vulnerabilidad de ejecución remota de código de la función Spring Cloud de VMware Tanzu
- CVE-2022-2294 : vulnerabilidad de desbordamiento del búfer de pila de WebRTC
- CVE-2021-39226 : vulnerabilidad de omisión de autenticación de Grafana
- CVE-2020-36193 : Vulnerabilidad de resolución de enlace inadecuado de PEAR Archive_Tar
- CVE-2020-28949 – PEAR Archive_Tar Deserialización de vulnerabilidad de datos no confiables
Otra vulnerabilidad de alta gravedad agregada al Catálogo KEV es CVE-2021-31010 (puntuación CVSS: 7.5), un problema de deserialización en el componente Core Telephony de Apple que podría aprovecharse para eludir las restricciones de sandbox.
El gigante tecnológico abordó la Vulnerabilidad en iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (y Security Update 2021-005 Catalina) y watchOS 7.6.2 lanzados en septiembre de 2021.
Si bien no había indicios de que se estuviera explotando la vulnerabilidad en ese momento, el gigante tecnológico parece haber revisado silenciosamente sus avisos el 25 de mayo de 2022 para agregar la vulnerabilidad y confirmar que efectivamente se había abusado de ella en los ataques.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad