La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado seis fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.
Esto incluye CVE-2023-27524 (Puntuación CVSS: 8,9), una vulnerabilidad de alta gravedad que afecta al software de visualización de datos de código abierto Apache Superset y que podría permitir la ejecución remota de código. Se solucionó en la versión 2.1.
Los detalles del problema salieron a la luz por primera vez en abril de 2023, cuando Naveen Sunkavally de Horizon3.ai lo describió como una «configuración predeterminada peligrosa en Apache Superset que permite a un atacante no autenticado obtener ejecución remota de código, recopilar credenciales y comprometer datos».
Actualmente no se sabe cómo se explota la vulnerabilidad en la naturaleza. CISA también agrega otras cinco fallas:
- CVE-2023-38203 (Puntuación CVSS: 9,8) – Adobe ColdFusion Deserialización de vulnerabilidad de datos no confiables
- CVE-2023-29300 (Puntuación CVSS: 9,8) – Adobe ColdFusion Deserialización de vulnerabilidad de datos no confiables
- CVE-2023-41990 (Puntuación CVSS: 7,8) – Vulnerabilidad de ejecución de código de múltiples productos de Apple
- CVE-2016-20017 (Puntuación CVSS: 9,8) – Vulnerabilidad de inyección de comandos en dispositivos D-Link DSL-2750B
- CVE-2023-23752 (Puntuación CVSS: 5,3) – Joomla! Vulnerabilidad de control de acceso inadecuado
Vale la pena señalar que CVE-2023-41990, parcheado por Apple en iOS 15.7.8 e iOS 16.3, fue utilizado por actores desconocidos como parte de los ataques de software espía Operación Triangulación para lograr la ejecución remota de código al procesar un archivo adjunto PDF de iMessage especialmente diseñado.
Se recomendó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen correcciones para los errores antes mencionados antes del 29 de enero de 2024, para proteger sus redes contra amenazas activas.