La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes cinco fallas de seguridad a sus Vulnerabilidades Explotadas Conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.
Esto incluye tres fallas de alta gravedad en el software Veritas Backup Exec Agent (CVE-2021-27876, CVE-2021-27877 y CVE-2021-27878) que podrían conducir a la ejecución de comandos privilegiados en el sistema subyacente. Los defectos eran fijado en un parche lanzado por Veritas en marzo de 2021.
- CVE-2021-27876 (Puntuación CVSS: 8,1) – Vulnerabilidad de acceso a archivos del agente de Veritas Backup Exec
- CVE-2021-27877 (Puntuación CVSS: 8,2) – Vulnerabilidad de autenticación incorrecta del agente de Veritas Backup Exec
- CVE-2021-27878 (Puntuación CVSS: 8,8) – Vulnerabilidad de ejecución de comandos del agente de Backup Exec de Veritas
Mandiant, propiedad de Google, en un informe publicado la semana pasada, reveló que un afiliado asociado con la operación de ransomware BlackCat (también conocido como ALPHV y Noberus) está apuntando a las instalaciones de Veritas Backup Exec expuestas públicamente para obtener acceso inicial aprovechando los tres errores antes mencionados.
La firma de inteligencia de amenazas, que está rastreando al actor afiliado bajo su nombre no categorizado UNC4466, dijo que observó por primera vez la explotación de las fallas en la naturaleza el 22 de octubre de 2022.
En un incidente detallado por Mandiant, UNC4466 obtuvo acceso a un servidor de Windows expuesto a Internet, y luego llevó a cabo una serie de acciones que permitieron al atacante implementar la carga útil del ransomware basado en Rust, pero no antes de realizar un reconocimiento, escalar privilegios y deshabilitar Capacidad de monitoreo en tiempo real de Microsoft Defender.
También añadido por CISA al catálogo KEV es CVE-2019-1388 (Puntuación CVSS: 7,8), una falla de escalada de privilegios que afecta el cuadro de diálogo de certificado de Microsoft Windows que podría explotarse para ejecutar procesos con permisos elevados en un host ya comprometido.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
La quinta vulnerabilidad incluida en la lista es una falla de divulgación de información en Arm Mali GPU Kernel Driver (CVE-2023-26083) que fue revelado por el Grupo de Análisis de Amenazas (TAG) de Google el mes pasado como abusado por un proveedor de spyware no identificado como parte de una cadena de explotación para ingresar a los teléfonos inteligentes Android de Samsung.
Las Agencias del Poder Ejecutivo Federal Civil (FCEB) tienen tiempo hasta el 28 de abril para aplicar los parches para proteger sus redes contra posibles amenazas.
El aviso también se produce cuando Apple lanzó actualizaciones para iOS, iPadOS, macOS y el navegador web Safari para abordar un par de fallas de día cero (CVE-2023-28205 y CVE-2023-28206) que dijo que ha sido explotado en real- ataques mundiales.