La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado tres fallas de seguridad en su catálogo de vulnerabilidades conocidas explotadas (KEV), según la evidencia de explotación activa.
La lista de deficiencias es la siguiente:
- CVE-2022-47986 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución de código de IBM Aspera Faspex
- CVE-2022-41223 (Puntuación CVSS: 6,8) – Vulnerabilidad de inyección de código Mitel MiVoice Connect
- CVE-2022-40765 (Puntuación CVSS: 6,8) – Vulnerabilidad de inyección de comando Mitel MiVoice Connect
CVE-2022-47986 se describe como una falla de deserialización de YAML en la solución de transferencia de archivos que podría permitir que un atacante remoto ejecute código en el sistema.
Los detalles de la falla y una prueba de concepto (PoC) fueron compartido por Assetnote el 2 de febrero, un día después del cual la Fundación Shadowserver dicho “recogió intentos de explotación” en la naturaleza.
La explotación activa de la falla de Aspera Faspex se produce poco después de que los actores de amenazas con posibles vínculos con la operación de ransomware Clop abusaran de una vulnerabilidad en el software de transferencia de archivos administrado por MFT GoAnywhere de Fortra (CVE-2023-0669).
CISA también agregó dos fallas que afectan a Mitel MiVoice Connect (CVE-2022-41223 y CVE-2022-40765) que podrían permitir que un atacante autenticado con acceso a la red interna ejecute código arbitrario.
Los detalles exactos que rodean la naturaleza de los ataques no están claros. Mitel reparó las vulnerabilidades en octubre de 2022.
A la luz de la explotación en estado salvaje, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones necesarias antes del 14 de marzo de 2023 para proteger las redes contra posibles amenazas.
CISA, en un desarrollo relacionado, también liberado un aviso de sistemas de control industrial (ICS) que se relaciona con fallas críticas (CVE-2022-26377 y CVE-2022-31813) en MELSOFT iQ AppPortal de Mitsubishi Electric.
“La explotación exitosa de estas vulnerabilidades podría permitir que un atacante malicioso tenga impactos no identificados, como eludir la autenticación, la divulgación de información, la denegación de servicio o eludir la autenticación de la dirección IP”, dijo la agencia. dicho.