La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha agregado tres fallas al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basadas en evidencia de explotación activa.
Las vulnerabilidades de seguridad son las siguientes:
- CVE-2023-1389 (puntuación CVSS: 8,8): vulnerabilidad de inserción de comandos en TP-Link Archer AX-21
- CVE-2021-45046 (puntuación CVSS: 9,0) – Apache Log4j2 Deserialización de la vulnerabilidad de datos que no son de confianza
- CVE-2023-21839 (puntuación CVSS: 7,5): vulnerabilidad no especificada en Oracle WebLogic Server
CVE-2023-1389 se refiere a un caso de inyección de comandos que afecta a los enrutadores TP-Link Archer AX-21 que podría explotarse para lograr la ejecución remota de código. Según la Zero Day Initiative de Trend Micro, la falla ha sido utilizada por actores de amenazas asociados con la botnet Mirai desde el 11 de abril de 2023.
La segunda falla que se agregará al catálogo KEV es CVE-2021-45046, una ejecución remota de código que afecta a la biblioteca de registro Apache Log4j2 que salió a la luz en diciembre de 2021.
Actualmente no está claro cómo se está abusando de esta vulnerabilidad específica en la naturaleza, aunque los datos recopilados por GreyNoise muestran evidencia de intentos de explotación de hasta 74 direcciones IP únicas en los últimos 30 días. Sin embargo, esto también incluye CVE-2021-44228 (también conocido como Log4Shell).
Completando la lista hay un error de alta gravedad en Oracle WebLogic Server versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0 que podría permitir el acceso no autorizado a datos confidenciales. Fue parcheado por la compañía como parte de las actualizaciones lanzadas en enero de 2023.
«Oracle WebLogic Server contiene una vulnerabilidad no especificada que permite a un atacante no autenticado con acceso a la red a través de T3, IIOP, comprometer Oracle WebLogic Server», dijo CISA.
Si bien existen exploits de prueba de concepto (PoC) para la falla, no parece haber ningún informe público de explotación maliciosa.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar correcciones proporcionadas por el proveedor antes del 22 de mayo de 2023 para proteger sus redes contra estas amenazas activas.
El aviso también se produce poco más de un mes después de que VulnCheck revelara que casi cuatro docenas de fallas de seguridad que probablemente hayan sido utilizadas como armas en la naturaleza en 2022 faltan en el catálogo de KEV.
De las 42 vulnerabilidades, una abrumadora mayoría están relacionadas con la explotación por botnets similares a Mirai (27), seguidas por bandas de ransomware (6) y otros actores de amenazas (9).
Fuente: https://thehackernews.com
