La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido dos fallos de seguridad a su lista de vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación:
- CVE-2012-4792 (Puntuación CVSS: 9,3) – Vulnerabilidad de uso después de liberación en Microsoft Internet Explorer
- CVE-2024-39891 (Puntuación CVSS: 5,3) – Vulnerabilidad de divulgación de información de Authy en Twilio
CVE-2012-4792 es una vulnerabilidad de uso posterior a la liberación de Internet Explorer que tiene una década de antigüedad y podría permitir a un atacante remoto ejecutar código arbitrario a través de un sitio especialmente diseñado.
Actualmente no está claro si la falla ha sido objeto de nuevos intentos de explotación, aunque fue abusada como parte de ataques de abrevadero dirigidos a los sitios web del Consejo de Relaciones Exteriores (CFR) y Capstone Turbine Corporation en diciembre de 2012.
Por otro lado, CVE-2024-39891 se refiere a un error de divulgación de información en un punto final no autenticado que podría explotarse para «aceptar una solicitud que contenga un número de teléfono y responder con información sobre si el número de teléfono estaba registrado con Authy».
A principios de este mes, Twilio dijo que resolvió el problema en las versiones 25.1.0 (Android) y 26.1.0 (iOS) después de que actores de amenazas no identificados aprovecharan la deficiencia para identificar datos asociados con las cuentas de Authy.
«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», dijo CISA. dicho en un aviso.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben remediar las vulnerabilidades identificadas antes del 13 de agosto de 2024, para proteger sus redes contra amenazas activas.