CISA señala fallas críticas en los sistemas Mitel y Oracle en medio de una explotación activa

08 de enero de 2025Ravie LakshmananVulnerabilidad/Seguridad de Red

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado tres fallas que afectan a Mitel MiCollab y Oracle WebLogic Server a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La lista de vulnerabilidades es la siguiente:

• CVE-2024-41713 (Puntuación CVSS: 9,1): una vulnerabilidad de recorrido de ruta en Mitel MiCollab que podría permitir a un atacante obtener acceso no autorizado y no autenticado.
• CVE-2024-55550 (Puntuación CVSS: 4,4): una vulnerabilidad de recorrido de ruta en Mitel MiCollab que podría permitir a un atacante autenticado con privilegios administrativos leer archivos locales dentro del sistema debido a una desinfección de entrada insuficiente.
• CVE-2020-2883 (Puntuación CVSS: 9,8): una vulnerabilidad de seguridad en Oracle WebLogic Server que podría ser explotada por un atacante no autenticado con acceso a la red a través de IIOP o T3.

Vale la pena señalar que CVE-2024-41713 podría encadenarse con CVE-2024-55550 para permitir que un atacante remoto no autenticado lea archivos arbitrarios en el servidor.

Los detalles sobre las fallas gemelas surgieron el mes pasado luego de un informe de WatchTowr Labs, que descubrió los problemas como parte de sus esfuerzos para replicar otro error crítico en Mitel MiCollab (CVE-2024-35286, puntuación CVSS: 9.8) que se corrigió en mayo de 2024. .

En cuanto a CVE-2020-2883, Oracle prevenido a finales de abril de 2020 que había recibido “informes de intentos de explotar maliciosamente una serie de vulnerabilidades recientemente parcheadas, incluida la vulnerabilidad CVE-2020-2883“.

Actualmente no hay detalles disponibles sobre cómo se explotan las fallas antes mencionadas en ataques del mundo real, quién puede estar aprovechándolas o los objetivos de estas actividades.

De conformidad con la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones necesarias antes del 28 de enero de 2025 para proteger sus redes.