La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado tres fallas en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basadas en evidencia de explotación activa.
Las vulnerabilidades de seguridad son las siguientes:
- CVE-2023-1389 (Puntuación CVSS: 8.8) – Vulnerabilidad de inyección de comando TP-Link Archer AX-21
- CVE-2021-45046 (Puntuación CVSS: 9,0) – Vulnerabilidad de deserialización de Apache Log4j2 de datos no confiables
- CVE-2023-21839 (Puntuación CVSS: 7,5) – Vulnerabilidad no especificada del servidor Oracle WebLogic
CVE-2023-1389 se refiere a un caso de inyección de comandos que afecta a los enrutadores TP-Link Archer AX-21 que podrían explotarse para lograr la ejecución remota de código. Según la iniciativa Zero Day de Trend Micro, los actores de amenazas asociados con la botnet Mirai han utilizado la falla desde el 11 de abril de 2023.
La segunda falla que se agregará al catálogo de KEV es CVE-2021-45046, una ejecución remota de código que afecta la biblioteca de registro Apache Log4j2 que salió a la luz en diciembre de 2021.
Actualmente no está claro cómo se abusa de esta vulnerabilidad específica, aunque los datos recopilados por GreyNoise espectáculos evidencia de intentos de explotación de hasta 74 direcciones IP únicas en los últimos 30 días. Esto, sin embargo, también incluye CVE-2021-44228 (también conocido como Log4Shell).
Completa la lista un error de alta gravedad en Oracle WebLogic Server versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0 que podría permitir el acceso no autorizado a datos confidenciales. Fue parcheado por la compañía como parte de las actualizaciones publicadas en enero de 2023.
«Oracle WebLogic Server contiene una vulnerabilidad no especificada que permite que un atacante no autenticado con acceso a la red a través de T3, IIOP, comprometa Oracle WebLogic Server», CISA dicho.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Si bien existe una prueba de concepto (PoC) explota la falla, no parece haber ningún informe público de explotación maliciosa.
Las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben aplicar las correcciones proporcionadas por los proveedores antes del 22 de mayo de 2023 para proteger sus redes contra estas amenazas activas.
El aviso también llega poco más de un mes después de VulnCheck. reveló que casi cuatro docenas de fallas de seguridad que probablemente hayan sido armadas en la naturaleza en 2022 faltan en el catálogo de KEV.
De las 42 vulnerabilidades, una abrumadora mayoría está relacionada con la explotación por redes de bots similares a Mirai (27), seguidas por pandillas de ransomware (6) y otros actores de amenazas (9).