La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) fijó como fecha límite el 17 de noviembre de 2023 para que las agencias y organizaciones federales apliquen mitigaciones para protegerse contra una serie de fallas de seguridad en Juniper Junos OS que salieron a la luz en agosto.
La agencia el lunes. agregado cinco vulnerabilidades de las vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa –
- CVE-2023-36844 (Puntuación CVSS: 5,3) – Vulnerabilidad de modificación de variable externa PHP de Juniper Junos OS EX Series
- CVE-2023-36845 (Puntuación CVSS: 5,3) – Vulnerabilidad de modificación de variables externas de PHP de Juniper Junos OS EX Series y SRX Series
- CVE-2023-36846 (Puntuación CVSS: 5,3) – Falta autenticación de la serie Juniper Junos OS SRX por vulnerabilidad de función crítica
- CVE-2023-36847 (Puntuación CVSS: 5,3) – Falta autenticación de la serie Juniper Junos OS EX por vulnerabilidad de función crítica
- CVE-2023-36851 (Puntuación CVSS: 5,3) – Falta autenticación de la serie Juniper Junos OS SRX por vulnerabilidad de función crítica
Las vulnerabilidades, según Juniper, podrían integrarse en una cadena de exploits para lograr la ejecución remota de código en dispositivos sin parches. También se agrega a la lista CVE-2023-36851, que se ha descrito como una variante de la falla de carga SRX.
Juniper, en una actualización de su aviso del 8 de noviembre de 2023, dicho «ahora es consciente de la explotación exitosa de estas vulnerabilidades», y recomienda que los clientes actualicen a las últimas versiones con efecto inmediato.
Actualmente se desconocen los detalles sobre la naturaleza de la explotación.
En una alerta separada, CISA también ha prevenido que la banda de ransomware Royal puede cambiar su nombre a BlackSuit debido al hecho de que este último comparte una «cantidad de características de codificación identificadas similares a Royal».
El desarrollo se produce cuando Cyfirma reveló que se están ofreciendo a la venta exploits para vulnerabilidades críticas en foros de la red oscura y canales de Telegram.
«Estas vulnerabilidades abarcan elevación de privilegios, omisión de autenticación, inyección SQL y ejecución remota de código, lo que plantea importantes riesgos de seguridad», dijo la firma de ciberseguridad. dichoY añade que «los grupos de ransomware están buscando activamente vulnerabilidades de día cero en foros clandestinos para comprometer a un gran número de víctimas».
También sigue a las revelaciones de Huntress de que los actores de amenazas están apuntando a múltiples organizaciones de atención médica al abusar de la herramienta de acceso remoto ScreenConnect ampliamente utilizada por Transaction Data Systems, un proveedor de software de gestión de farmacias, para el acceso inicial.
«El actor de amenazas procedió a tomar varias medidas, incluida la instalación de herramientas adicionales de acceso remoto, como instancias ScreenConnect o AnyDesk, para garantizar un acceso persistente a los entornos», dijo Huntress. anotado.