La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido una vulnerabilidad de seguridad que afecta a Versa Director en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basándose en pruebas de explotación activa. Esta vulnerabilidad de gravedad media, rastreada como CVE-2024-39717 y con una puntuación CVSS de 6.6, se relaciona con un error en la funcionalidad de «Cambiar Favicon» que permite a un actor malicioso subir un archivo peligroso, haciéndolo pasar por un archivo de imagen PNG inofensivo.
Según un aviso de CISA, «la interfaz gráfica de Versa Director contiene una vulnerabilidad de subida no restringida de archivos de tipo peligroso, que permite a los administradores con privilegios de Provider-Data-Center-Admin o Provider-Data-Center-System-Admin personalizar la interfaz de usuario». Esta vulnerabilidad podría ser explotada tras la autenticación y el inicio de sesión exitoso de un usuario con los privilegios mencionados, lo que permitiría subir un archivo malicioso con una extensión .PNG disfrazado como una imagen.
Aunque las circunstancias exactas que rodean la explotación de CVE-2024-39717 no están claras, la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST menciona que Versa Networks está al tanto de un caso confirmado en el que un cliente fue objetivo de esta vulnerabilidad. Se atribuye la explotación exitosa a la falta de implementación de las directrices de firewall publicadas en 2015 y 2017 por parte del cliente afectado.
CISA ha instado a las agencias de la Rama Ejecutiva Civil Federal (FCEB) a protegerse contra esta falla aplicando los parches proporcionados por el proveedor antes del 13 de septiembre de 2024. Este desarrollo sigue a la reciente adición de cuatro vulnerabilidades de seguridad, identificadas en 2021 y 2022, al catálogo KEV de CISA.
Entre estas vulnerabilidades se incluyen:
- CVE-2021-33044 (CVSS: 9.8) – Vulnerabilidad de omisión de autenticación en cámaras IP de Dahua.
- CVE-2021-33045 (CVSS: 9.8) – Otra vulnerabilidad de omisión de autenticación en cámaras IP de Dahua.
- CVE-2021-31196 (CVSS: 7.2) – Vulnerabilidad de divulgación de información en Microsoft Exchange Server.
- CVE-2022-0185 (CVSS: 8.4) – Vulnerabilidad de desbordamiento de búfer en el kernel de Linux.
Destaca la explotación de la vulnerabilidad CVE-2022-0185 por parte de un actor de amenazas vinculado a China, denominado UNC5174 (también conocido como Uteus o Uetus), según lo informado por Mandiant, propiedad de Google, en marzo pasado. La vulnerabilidad CVE-2021-31196 fue inicialmente revelada como parte de un conjunto significativo de vulnerabilidades en Microsoft Exchange Server, conocidas colectivamente como ProxyLogon, ProxyShell, ProxyToken y ProxyOracle.
OP Innovate indicó que «CVE-2021-31196 ha sido observada en campañas de explotación activa, donde los actores de amenazas apuntan a instancias no parcheadas de Microsoft Exchange Server, generalmente con el objetivo de obtener acceso no autorizado a información sensible, escalar privilegios o desplegar cargas útiles adicionales, como ransomware o malware».
Las agencias federales deben actuar con rapidez para mitigar esta amenaza emergente, garantizando la seguridad de sus infraestructuras críticas frente a posibles ataques cibernéticos.
Ciberprisma - alianza por la ciberseguridad 