
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó múltiples fallas de seguridad que afectan a los productos de Zyxel, North Grid Proself, ProjectSendy CiberPanel a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.
La lista de vulnerabilidades es la siguiente:
- CVE-2024-51378 (Puntuación CVSS: 10.0) – Una vulnerabilidad de permisos predeterminados incorrectos que permite omitir la autenticación y la ejecución de comandos arbitrarios usando metacaracteres de shell en la propiedad statusfile
- CVE-2023-45727 (Puntuación CVSS: 7,5): una restricción inadecuada de la vulnerabilidad de referencia de entidad externa XML (XXE) que podría permitir que un atacante remoto y no autenticado lleve a cabo un ataque XXE.
- CVE-2024-11680 (Puntuación CVSS: 9,8): una vulnerabilidad de autenticación inadecuada que permite a un atacante remoto y no autenticado crear cuentas, cargar shells web e incrustar JavaScript malicioso.
- CVE-2024-11667 (Puntuación CVSS: 7,5): una vulnerabilidad de recorrido de ruta en la interfaz de administración web que podría permitir a un atacante descargar o cargar archivos a través de una URL diseñada
La inclusión de CVE-2023-45727 en el catálogo KEV se produce a raíz de un informe de Trend Micro publicado el 19 de noviembre de 2024, que vinculaba su explotación activa con un grupo de ciberespionaje nexo con China denominado Earth Kasha (también conocido como MirrorFace).
Luego, la semana pasada, el proveedor de ciberseguridad VulnCheck reveló que actores maliciosos han estado intentando utilizar CVE-2024-11680 como arma ya en septiembre de 2024 para eliminar cargas útiles posteriores a la explotación.
El abuso de CVE-2024-51378 y CVE-2024-11667, por otro lado, se ha atribuido a diversas campañas de ransomware como PSAUX y Helldown, según censys y Sekoia.
Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que solucionen las vulnerabilidades identificadas antes del 25 de diciembre de 2024 para proteger sus redes.
Múltiples errores en enrutadores IO DATA bajo ataque
El desarrollo viene como JPCERT/CC. prevenido que tres fallas de seguridad en los enrutadores IO DATA UD-LT1 y UD-LT1/EX están siendo explotadas por actores de amenazas desconocidos.
- CVE-2024-45841 (Puntuación CVSS: 6,5): una asignación de permiso incorrecta para una vulnerabilidad de recursos críticos que permite a un atacante con acceso a una cuenta de invitado leer archivos confidenciales, incluidos aquellos que contienen credenciales.
- CVE-2024-47133 (Puntuación CVSS: 7,2): una vulnerabilidad de inyección de comandos del sistema operativo (SO) que permite a un usuario que ha iniciado sesión con una cuenta administrativa ejecutar comandos arbitrarios.
- CVE-2024-52564 (Puntuación CVSS: 7,5): inclusión de una vulnerabilidad de características no documentadas que permite a un atacante remoto desactivar la función del firewall y ejecutar comandos arbitrarios del sistema operativo o alterar la configuración del enrutador.
Si bien los parches para CVE-2024-52564 están disponibles con el firmware versión 2.1.9, no se espera que se publiquen correcciones para las dos deficiencias restantes hasta el 18 de diciembre de 2024 (Ver 2.2.0).
Mientras tanto, la empresa japonesa está asesorando que los clientes limiten la exposición de la pantalla de configuración a Internet deshabilitando la administración remota, cambiando las contraseñas predeterminadas de los usuarios invitados y asegurándose de que las contraseñas del administrador no sean fáciles de adivinar.






