El CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) informó tres fallas de seguridad en su catálogo de KEV (Vulnerabilidades Explotadas Conocidas), ratificando evidencia de explotación activa.
Las vulnerabilidades agregadas son las siguientes:
- CVE-2023-48788 (puntuación CVSS: 9,3) – Vulnerabilidad de inyección SQL de Fortinet FortiClient EMS.
- CVE-2021-44529 (puntuación CVSS: 9,8) – Vulnerabilidad de inyección de código del dispositivo de servicio en la nube de Ivanti Endpoint Manager (EPM CSA).
- CVE-2019-7256 (puntuación CVSS: 10.0) – Vulnerabilidad de inyección de comandos del sistema operativo Nice Linear eMerge E3-Series.
Luego de informarse a principio de este mes sobre la deficiencia que afectó a Fortinet FortiClient EMS, la compañía la describió como una falla que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes específicamente diseñadas. Poco después, la organización revisó su aviso para confirmar que había sido explotado en estado salvaje.
CVE-2021-44529, por otro lado, se refiere a una vulnerabilidad de inyección de código en Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA), que permite a un usuario no autenticado ejecutar código malicioso con permisos limitados.
Un informe reciente publicado por el investigador de seguridad Ron Bowes, indica que la falla pudo haber sido introducida a través de una puerta trasera intencional en un proyecto de código abierto que existió desde 2014 llamado csrf-magic (al momento discontinuado).
La vulnerabilidad CVE-2019-7256, permite a un atacante realizar la ejecución remota de código en los controladores de acceso Nice Linear eMerge E3-Series, dicha falla viene siendo explotada por los actores de amenazas desde febrero de 2020.
Nice (anteriormente Nortek) solucionó esta falla, junto con otros 11 errores, a principios de este mes. Dicho esto, las vulnerabilidades fueron reveladas originalmente por el investigador de seguridad Gjoko Krstic en mayo de 2019.
Ante la explotación activa de estas tres fallas, las agencias federales deberán ejecutar las mitigaciones correspondientes proporcionadas por los proveedores antes del 15 de abril de 2024. Cabe aclarar que, el desarrollo se produce cuando CISA y la Oficina Federal de Investigaciones (FBI) publicaron una alerta conjunta, instando a los fabricantes de software a tomar medidas para mitigar las fallas de inyección SQL.
Fuente
https://thehackernews.com/2024/03/cisa-alerts-on-active-exploitation-of.html
Ciberprisma - alianza por la ciberseguridad 