La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado<\/a> tres fallas de seguridad en su cat\u00e1logo de vulnerabilidades conocidas explotadas (KEV), seg\u00fan la evidencia de explotaci\u00f3n activa.<\/p>\n La lista de deficiencias es la siguiente:<\/p>\n CVE-2022-47986 se describe como una falla de deserializaci\u00f3n de YAML en la soluci\u00f3n de transferencia de archivos que podr\u00eda permitir que un atacante remoto ejecute c\u00f3digo en el sistema.<\/p>\n Los detalles de la falla y una prueba de concepto (PoC) fueron compartido<\/a> por Assetnote el 2 de febrero, un d\u00eda despu\u00e9s del cual la Fundaci\u00f3n Shadowserver dicho<\/a> “recogi\u00f3 intentos de explotaci\u00f3n” en la naturaleza.<\/p>\n La explotaci\u00f3n activa de la falla de Aspera Faspex se produce poco despu\u00e9s de que los actores de amenazas con posibles v\u00ednculos con la operaci\u00f3n de ransomware Clop abusaran de una vulnerabilidad en el software de transferencia de archivos administrado por MFT GoAnywhere de Fortra (CVE-2023-0669).<\/p>\n CISA tambi\u00e9n agreg\u00f3 dos fallas que afectan a Mitel MiVoice Connect (CVE-2022-41223 y CVE-2022-40765) que podr\u00edan permitir que un atacante autenticado con acceso a la red interna ejecute c\u00f3digo arbitrario.<\/p>\n Los detalles exactos que rodean la naturaleza de los ataques no est\u00e1n claros. Mitel repar\u00f3 las vulnerabilidades en octubre de 2022.<\/p>\n A la luz de la explotaci\u00f3n en estado salvaje, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones necesarias antes del 14 de marzo de 2023 para proteger las redes contra posibles amenazas.<\/p>\n CISA, en un desarrollo relacionado, tambi\u00e9n liberado<\/a> un aviso de sistemas de control industrial (ICS) que se relaciona con fallas cr\u00edticas (CVE-2022-26377 y CVE-2022-31813) en MELSOFT iQ AppPortal de Mitsubishi Electric.<\/p>\n “La explotaci\u00f3n exitosa de estas vulnerabilidades podr\u00eda permitir que un atacante malicioso tenga impactos no identificados, como eludir la autenticaci\u00f3n, la divulgaci\u00f3n de informaci\u00f3n, la denegaci\u00f3n de servicio o eludir la autenticaci\u00f3n de la direcci\u00f3n IP”, dijo la agencia. dicho<\/a>.<\/p>\n <\/p>\n\n