La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agreg\u00f3 el viernes 10 nuevas vulnerabilidades explotadas activamente a su Cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV)<\/a>incluida una falla de seguridad de alta gravedad que afecta al software de automatizaci\u00f3n industrial de Delta Electronics.<\/p>\n El problema, rastreado como CVE-2021-38406<\/a> (puntuaci\u00f3n CVSS: 7,8), afecta a las versiones 2.00.07 y anteriores de DOPSoft 2. Una explotaci\u00f3n exitosa de la falla puede conducir a la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n “Delta Electronics DOPSoft 2 carece de la validaci\u00f3n adecuada de los datos proporcionados por el usuario al analizar archivos de proyectos espec\u00edficos (validaci\u00f3n de entrada incorrecta), lo que resulta en una escritura fuera de los l\u00edmites que permite la ejecuci\u00f3n del c\u00f3digo”, dijo CISA en una alerta.<\/p>\n Vale la pena se\u00f1alar que CVE-2021-38406 se divulg\u00f3 originalmente como parte de un aviso de sistemas de control industrial (ICS). publicado<\/a> en septiembre de 2021.<\/p>\n Sin embargo, no hay parches que aborden la vulnerabilidad, y CISA se\u00f1ala que “el producto afectado est\u00e1 al final de su vida \u00fatil y debe desconectarse si todav\u00eda est\u00e1 en uso”. Las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en ingl\u00e9s) tienen el mandato de seguir la directriz antes del 15 de septiembre de 2022.<\/p>\n No hay mucha informaci\u00f3n disponible sobre la naturaleza de los ataques que explotan el error de seguridad, pero un informe reciente de la Unidad 42 de Palo Alto Networks se\u00f1al\u00f3<\/a> instancias de ataques en estado salvaje aprovechando la falla entre febrero y abril de 2022.<\/p>\n El desarrollo agrega peso a la noci\u00f3n de que los adversarios se est\u00e1n volviendo m\u00e1s r\u00e1pidos en la explotaci\u00f3n de vulnerabilidades reci\u00e9n publicadas cuando se divulgan por primera vez, lo que lleva a intentos de escaneo indiscriminados y oportunistas que tienen como objetivo aprovechar la aplicaci\u00f3n de parches retrasada.<\/p>\n Estos ataques a menudo siguen una secuencia espec\u00edfica de explotaci\u00f3n que involucra web shells, criptomineros, botnets y troyanos de acceso remoto (RAT), seguidos de intermediarios de acceso inicial (IAB) que allanan el camino para el ransomware.<\/p>\n Entre otros defectos explotados activamente agregados a la lista est\u00e1n los siguientes:<\/p>\n Otra falla de alta gravedad agregada al Cat\u00e1logo KEV es CVE-2021-31010<\/strong><\/a> (Puntuaci\u00f3n CVSS: 7,5), un problema de deserializaci\u00f3n en el componente Core Telephony de Apple que podr\u00eda aprovecharse para eludir las restricciones de sandbox.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n\n
Falla de iOS y macOS agregada a la lista<\/h3>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n