La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) acaba de agregar 95 errores nuevos a su catálogo de vulnerabilidades explotadas conocidas, que incluyen múltiples fallas críticas en el enrutador Cisco, fallas nuevas y antiguas de Windows, y errores en Adobe Flash Player, y más.
«CISA ha agregado 95 nuevas vulnerabilidades a su Catálogo de vulnerabilidades conocidas explotadas, con base en la evidencia de explotación activa. Estos tipos de vulnerabilidades son un vector de ataque frecuente para ciberactores maliciosos y representan un riesgo significativo para la empresa federal», dijo la agencia.
La falla de Windows CVE-2021-41379 que se unió a la lista de CISA se usó en ataques contra clientes en noviembre. Los investigadores de Talos de Cisco descubrieron malware que se enfocaba en la falla de elevación de privilegios que afectaba a Windows 11 y versiones anteriores. Microsoft lo calificó como una amenaza «importante» y una puntuación de gravedad de 5,5 sobre 10.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Sin embargo, las fallas de los enrutadores de Cisco son una mayor preocupación para parchear debido a su clasificación de gravedad de 10 de 10. Cisco lanzó actualizaciones de firmware en febrero para abordar múltiples fallas críticas en su serie de enrutadores RV.
Estos fueron errores que permitieron a los atacantes ejecutar código malicioso, elevar privilegios, ejecutar comandos aleatorios, desconectar un dispositivo, omitir la autenticación y más. Afectaron a los enrutadores de las series RV160, RV260, RV340 y RV345 de Cisco para pequeñas empresas.
La lista de CISA es importante para las agencias del gobierno federal de EE. UU. ya que los oficiales están obligados, según la directiva operativa vinculante (BOD) 22-01, a actuar sobre las alertas de vulnerabilidad de CISA dentro de un plazo. En este caso, la fecha de vencimiento para aplicar estas actualizaciones de los proveedores es marzo, lo que sugiere cuán importante considera CISA que las agencias respondan con rapidez.
«BOD 22-01 requiere que las agencias de FCEB reparen las vulnerabilidades identificadas antes de la fecha de vencimiento para proteger las redes de FCEB contra amenazas activas», señala CISA.
Parece que CISA está ordenando a las agencias que realicen una limpieza a fondo de cualquier falla de software anterior que aún pueda estar al acecho en los sistemas gubernamentales.
La lista actualizada de errores para parchear se convierte en parte de las recomendaciones de Shields Up de CISA, que marcó esta semana como parte de su respuesta a los ataques de malware destructivos contra organizaciones ucranianas. A CISA le preocupa que el malware de limpieza como WhisperGate y HermeticWiper pronto pueda apuntar a organizaciones fuera de Ucrania debido a las nuevas sanciones de EE. UU. y Europa contra Rusia.
La lista también es un recurso valioso para todas las organizaciones fuera de los EE. UU. CISA ha instado a todas las demás organizaciones a aplicar las actualizaciones para reducir su exposición a los ciberataques.
VER: Cómo la invasión rusa de Ucrania amenaza a la industria de TI
Entre los errores más antiguos que se agregaron con una fecha de vencimiento del 17 de marzo, se encuentra una falla de Microsoft Excel RCE CVE-2019-1297, una antigua falla de escalada de privilegios de Exchange Server CVE-2018-8581 y una falla en el motor de secuencias de comandos del navegador ChakraCore CVE-2018-8298 que Microsoft está eliminando debido a su cambio a Chromium para Edge.
También hay varias fallas de software antiguas de Cisco IOS e IOS XE reveladas en 2017 que ahora deben corregirse antes del 17 de marzo.
Incluso los errores más antiguos de antes de 2018, como los que afectan al procesador de comunicación SIMATIC de Siemens (CP) y al software Flash Player de Adobe, ahora muerto, están ahora en la lista.
