La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha metido una falla de seguridad que afecta a Versa Director a sus vulnerabilidades explotadas conocidas (KEV) catálogo basado en evidencia de explotación activa.
La vulnerabilidad de gravedad media, identificada como CVE-2024-39717 (Puntuación CVSS: 6.6), es un caso de error de carga de archivos que afecta la función «Cambiar favicon» que podría permitir que un actor de amenazas cargue un archivo malicioso haciéndose pasar por un archivo de imagen PNG aparentemente inofensivo.
«La GUI de Versa Director contiene una carga sin restricciones de archivos con una vulnerabilidad de tipo peligroso que permite a los administradores con privilegios Provider-Data-Center-Admin o Provider-Data-Center-System-Admin personalizar la interfaz de usuario», dijo CISA en un aviso.
«La función ‘Cambiar favicon’ (ícono favorito) permite cargar un archivo .png, que puede explotarse para cargar un archivo malicioso con una extensión .PNG disfrazada de imagen».
Sin embargo, una explotación exitosa solo es posible después de que un usuario con privilegios Provider-Data-Center-Admin o Provider-Data-Center-System-Admin se haya autenticado e iniciado sesión exitosamente.
Si bien las circunstancias exactas que rodean la explotación de CVE-2024-39717 no están claras, una descripción de la vulnerabilidad en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST afirma que Versa Networks tiene conocimiento de una instancia confirmada en la que un cliente fue atacado.
«El cliente no implementó las pautas de firewall publicadas en 2015 y 2017», indica la descripción. «Esta falta de implementación dio como resultado que el actor malicioso pudiera explotar esta vulnerabilidad sin usar la interfaz gráfica de usuario».
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben tomar medidas para protegerse contra la falla aplicando correcciones proporcionadas por los proveedores antes del 13 de septiembre de 2024.
El desarrollo se produce días después de CISA agregado Cuatro carencias de seguridad de 2021 y 2022 en su catálogo KEV –
- CVE-2021-33044 (Puntuación CVSS: 9,8) – Vulnerabilidad de omisión de autenticación de la cámara IP Dahua
- CVE-2021-33045 (Puntuación CVSS: 9,8) – Vulnerabilidad de omisión de autenticación de la cámara IP Dahua
- CVE-2021-31196 (Puntuación CVSS: 7,2) – Vulnerabilidad de divulgación de información de Microsoft Exchange Server
- CVE-2022-0185 (Puntuación CVSS: 8,4) – Vulnerabilidad de desbordamiento de búfer basado en el montón del kernel de Linux
Vale la pena señalar que un actor de amenazas vinculado a China con nombre en código UNC5174 (también conocido como Uteus o Uetus) fue atribuido a la explotación de CVE-2022-0185 por Mandiant, propiedad de Google, a principios de marzo.
CVE-2021-31196 fue originalmente revelado como parte de un gran conjunto de vulnerabilidades de Microsoft Exchange Server, conocidas colectivamente como ProxyLogon, ProxyShell, ProxyToken y ProxyOracle.
«Se ha observado CVE-2021-31196 en campañas de explotación activas, donde los actores de amenazas apuntan a instancias de Microsoft Exchange Server sin parches», OP Innovate dicho«Estos ataques suelen tener como objetivo obtener acceso no autorizado a información confidencial, aumentar los privilegios o implementar otras cargas útiles como ransomware o malware».