La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado tres fallas de seguridad a sus Vulnerabilidades Explotadas Conocidas (KEV) catálogo, citando evidencia de explotación activa.
La lista de vulnerabilidades está a continuación:
- CVE-2022-35914 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código Teclib GLPI
- CVE-2022-33891 (Puntuación CVSS: 8.8) – Vulnerabilidad de inyección de comando Apache Spark
- CVE-2022-28810 (Puntuación CVSS: 6,8) – Zoho ManageEngine ADSelfService Plus Vulnerabilidad de ejecución remota de código
El más crítico de los tres es CVE-2022-35914que se refiere a una vulnerabilidad de ejecución remota de código en la biblioteca de terceros htmlawed presente en Teclib GLPIun paquete de software de gestión de TI y activos de código abierto.
Se desconocen los detalles exactos que rodean la naturaleza de los ataques, pero la Fundación Shadowserver en octubre de 2022 anotado que ha visto intentos de explotación contra sus honeypots.
Desde entonces, se ha puesto a disposición en GitHub una prueba de concepto (PoC) de una línea basada en cURL y se ha anunciado la venta de un escáner “masivo”, según el investigador de seguridad de VulnCheck, Jacob Baines. dicho en diciembre de 2022.
Además, los datos recopilados por GreyNoise han reveló 40 direcciones IP maliciosas de los EE. UU., los Países Bajos, Hong Kong, Australia y Bulgaria, que intentan abusar de la deficiencia.
La segunda falla es una vulnerabilidad de inyección de comandos no autenticada en Apache Spark que ha sido explotada por la botnet Zerobot para cooptar dispositivos susceptibles con el objetivo de llevar a cabo ataques de denegación de servicio distribuido (DDoS).
Por último, también se añade al catálogo de KEV un error de ejecución remota de código en Zoho ManageEngine ADSelfService Plus que se parchó en abril de 2022.
Descubra las últimas tácticas de evasión de malware y estrategias de prevención
¿Listo para acabar con los 9 mitos más peligrosos sobre los ataques basados en archivos? ¡Únase a nuestro próximo seminario web y conviértase en un héroe en la lucha contra las infecciones del paciente cero y los eventos de seguridad de día cero!
“Múltiple Zoho ManageEngine ADSelfService Plus contiene una vulnerabilidad no especificada que permite la ejecución remota de código al realizar un cambio o restablecimiento de contraseña”, dijo CISA.
La empresa de ciberseguridad Rapid7, que descubierto el error, dijo que detectó intentos de explotación activos por parte de los actores de amenazas para “ejecutar comandos arbitrarios del sistema operativo para ganar persistencia en el sistema subyacente e intentar pivotar más en el entorno”.
El desarrollo llega como la firma de seguridad API Wallarm dicho ha encontrado intentos de explotación en curso de dos fallas de VMware NSX Manager (CVE-2021-39144 y CVE-2022-31678) desde diciembre de 2022 que podría aprovecharse para ejecutar código malicioso y desviar datos confidenciales.