Conclusiones clave CISA ha añadido vulnerabilidades que afectan a la plataforma MSHTML de Microsoft Windows (CVE-2024-43461) y a la solución de monitorización de red Progress WhatsUp Gold (CVE-2024-6670) a su catálogo de vulnerabilidades explotadas conocidas. Las pruebas de concepto y las explotaciones observadas de estas vulnerabilidades significan que los usuarios deben actualizar los productos afectados lo antes posible. Se observó que Progress WhatsUp Gold estaba siendo explotada pocas horas después de que surgiera una prueba de concepto, lo que sugiere una necesidad urgente de parchear esta vulnerabilidad de gravedad 9,8. Los investigadores de Cyble han detectado 381 instancias de Progress WhatsUp Gold expuestas a Internet; es fundamental parchear estas instancias. Microsoft ha parcheado dos vulnerabilidades de alta gravedad encadenadas en ataques de suplantación de la plataforma MSHTML de Windows. Descripción general La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó vulnerabilidades que afectan a la plataforma MSHTML de Microsoft Windows y a la solución de monitoreo de red Progress WhatsUp Gold a su catálogo de vulnerabilidades explotadas conocidas (KEV) después de que surgieran pruebas de concepto (PoC) y los investigadores de seguridad observaran explotaciones activas de las vulnerabilidades. Examinaremos las vulnerabilidades, los siguientes pasos para los productos afectados y las mejores prácticas que todas las organizaciones deben seguir. CVE-2024-6670: Progress WhatsUp Gold CVE-2024-6670 es una vulnerabilidad crítica de inyección SQL de gravedad 9.8 que afecta a las versiones de Progress WhatsUp Gold lanzadas antes de 2024.0.0. La vulnerabilidad en las versiones afectadas del software de monitoreo de red permite que un atacante no autenticado recupere la contraseña cifrada del usuario si la aplicación está configurada con un solo usuario. Los ataques comenzaron a las pocas horas de que se publicara una prueba de concepto de la vulnerabilidad en GitHub, a pesar de que ya había un parche disponible para la vulnerabilidad desde mediados de agosto, lo que sugiere que algunos usuarios tardaron en actualizar las versiones afectadas. Los investigadores de Trend Micro detectaron ataques de ejecución de código remoto (RCE) contra WhatsUp Gold que explotaban el script de PowerShell de Active Monitor, aprovechando CVE-2024-6670 y CVE-2024-6671, una vulnerabilidad complementaria también calificada con 9.8. Ambas vulnerabilidades están parcheadas a partir de la versión 2024.0.0. El escáner ODIN de Cyble detectó 381 instancias de Progress WhatsUp Gold expuestas a Internet, como se muestra en la siguiente figura. Se insta a Progress WhatsUp Gold a actualizar lo antes posible y comprobar si hay indicadores de compromiso en sus entornos. CVE-2024-43461: Microsoft Windows MSHTML CVE-2024-43461 es una vulnerabilidad de alta gravedad (CVSS: 8.8) en la plataforma del motor de navegador Microsoft Windows MSHTML Internet Explorer que contiene un defecto de tergiversación de la interfaz de usuario que permite a los atacantes falsificar páginas web. Esta vulnerabilidad se explotó junto con CVE-2024-38112. Microsoft ha anunciado el retiro de Internet Explorer 11 y la descontinuación de Microsoft Edge Legacy. Sin embargo, MSHTML, EdgeHTML y las plataformas de scripts relacionadas siguen siendo compatibles. MSHTML se utiliza en modo Internet Explorer en Microsoft Edge y otras aplicaciones a través del control WebBrowser. WebView y algunas aplicaciones para UWP utilizan EdgeHTML. Las actualizaciones para vulnerabilidades en MSHTML y plataformas de scripts se incluyen en las actualizaciones acumulativas de IE, pero las actualizaciones de EdgeHTML y Chakra no. CVE-2024-43461 se explotó junto con CVE-2024-38112 antes de julio de 2024. Una corrección para CVE-2024-38112, publicada en julio de 2024, interrumpió esta cadena de ataque. Para garantizar una protección completa, los clientes deben instalar las actualizaciones de seguridad de julio de 2024 y septiembre de 2024. Los productos de Windows afectados incluyen: Windows Server 2012 Windows Server 2012 R2 Windows Server 2008 R2 Windows Server 2008 Windows Server 2016 Windows 10 Windows Server 2022 Windows 11 Conclusión La reciente adición de estas vulnerabilidades a la base de datos CISA KEV subraya su explotación activa. Estas vulnerabilidades pueden provocar graves infracciones de seguridad, incluido el acceso no autorizado a información confidencial y la suplantación efectiva de páginas web. Se insta a los propietarios de productos afectados a actualizar sus sistemas con el último parche publicado por el proveedor oficial. Recomendaciones de Cyble Cyble recomienda las siguientes prácticas recomendadas: Asegúrese de instalar las actualizaciones de seguridad más recientes para todos los sistemas afectados y verifique y aplique actualizaciones regularmente para mantenerse protegido contra vulnerabilidades conocidas. Implemente una supervisión sólida para detectar cualquier actividad inusual que pueda indicar la explotación de estas vulnerabilidades. Esto incluye la supervisión del tráfico de red, los registros del sistema y el comportamiento del usuario. Revise y fortalezca sus configuraciones de seguridad, incluidos los controles de acceso y los permisos. Asegúrese de que las aplicaciones no estén expuestas innecesariamente a Internet y de que existan mecanismos de autenticación sólidos. Realice evaluaciones de vulnerabilidad y pruebas de penetración periódicas para identificar y abordar posibles debilidades de seguridad antes de que puedan explotarse. Desarrolle una estrategia integral de administración de parches que incluya administración de inventario, evaluación de parches, pruebas, implementación y verificación. Implemente una segmentación de red adecuada para evitar la exposición de activos críticos a través de Internet. Mantenga un inventario actualizado de todos los activos internos y externos, incluidos hardware, software y componentes de red.