La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha agregado múltiples vulnerabilidades a su conocido catálogo de Vulnerabilidades Explotadas (KEV). Se han identificado un total de seis vulnerabilidades en varios productos, incluidos Zimbra Collaboration, Ivanti, D-Link, DrayTek, GPAC y SAP. En particular, estas vulnerabilidades abarcan una variedad de niveles de gravedad, desde crítico hasta medio, y exigen atención inmediata. Una de las entradas más interesantes es CVE-2024-45519, asociada a Zimbra Collaboration. A esta vulnerabilidad crítica se le ha asignado una puntuación CVSS de 9,8, lo que indica su naturaleza grave. El problema surge del servicio de publicaciones en versiones específicas de Zimbra, que puede permitir a usuarios no autenticados ejecutar comandos. Esta vulnerabilidad fue analizada por primera vez por investigadores de ProjectDiscovery, quienes demostraron un exploit de prueba de concepto (PoC). El 1 de octubre de 2024, el investigador de seguridad Ivan Kwiatkowski informó que había comenzado la explotación masiva de esta vulnerabilidad, y el escáner ODIN de Cyble reveló 35,315 instancias ZCS conectadas a Internet en el momento de la publicación del aviso. Otra vulnerabilidad crítica destacada es CVE-2024-29824 en Endpoint Manager (EPM) 2022 de Ivanti. Esta vulnerabilidad de inyección SQL de alta gravedad permite que un atacante no autenticado dentro de la misma red ejecute código arbitrario. La Fundación Shadowserver ha observado intentos de explotación, destacando la urgencia de parchear esta vulnerabilidad, que tiene una puntuación CVSS de 8,8. El aviso también analiza CVE-2023-25280, una vulnerabilidad crítica de inyección del sistema operativo que afecta a los dispositivos D-Link. Esta falla, que permite a un atacante manipular comandos del sistema mediante una validación insuficiente del parámetro ping_addr. Otras vulnerabilidades notables Además, CVE-2020-15415 afecta a varios modelos de enrutadores DrayTek, lo que permite la ejecución remota de comandos mediante inyección del sistema operativo. Con una puntuación CVSS de 9,8, esta vulnerabilidad se considera crítica y debe abordarse con urgencia. El escáner ODIN de Cyble indicó que actualmente hay 275.109 instancias de enrutadores afectados expuestos, lo que enfatiza el riesgo generalizado. Además, CVE-2021-4043 representa una vulnerabilidad de gravedad media en el repositorio de GPAC, que puede provocar una condición de denegación de servicio (DoS). Finalmente, CVE-2019-0344 en SAP Commerce Cloud también plantea un riesgo crítico debido a una deserialización insegura, lo que permite la ejecución de código arbitrario con requisitos mínimos de autenticación. La adición de estas vulnerabilidades al catálogo KEV de CISA es un indicador claro de que los actores de amenazas las están explotando activamente. Las organizaciones deben reconocer que las vulnerabilidades enumeradas en el catálogo KEV representan riesgos del mundo real, no solo preocupaciones teóricas. No abordar estos problemas puede tener consecuencias graves, incluidas filtraciones de datos, ataques de ransomware y escalada de privilegios. Conclusión El aviso de CISA destaca la necesidad urgente de que las organizaciones aborden las vulnerabilidades que han sido identificadas y explotadas en la naturaleza. Dado que el panorama de las ciberamenazas evoluciona continuamente, la aplicación oportuna de parches y la adopción de mejores prácticas de seguridad son esenciales para salvaguardar la información confidencial y mantener la integridad organizacional. Recomendaciones y mitigaciones Para combatir estas vulnerabilidades de manera eficaz, se insta a las organizaciones a implementar varias estrategias clave: Aplicar periódicamente los últimos parches de proveedores oficiales para todos los sistemas de software y hardware. Establezca una rutina para la gestión de parches, priorizando las actualizaciones críticas. Desarrolle un proceso integral de administración de parches que abarque la administración de inventario, evaluación, pruebas, implementación y verificación de actualizaciones. Automatizar cuando sea posible para mejorar la eficiencia. Implementar una segmentación de red adecuada para proteger los activos críticos. Esto se puede lograr mediante firewalls, VLAN y controles de acceso estrictos, minimizando efectivamente la exposición a amenazas potenciales. Mantener un plan de respuesta a incidentes actualizado que detalle los procedimientos para detectar, responder y recuperarse de incidentes de seguridad. Pruebe y perfeccione periódicamente este plan para garantizar su eficacia. Identifique y elimine proactivamente los productos al final de su vida útil para minimizar la exposición al riesgo. Las organizaciones deben priorizar las actualizaciones o reemplazos oportunos de los sistemas críticos. Relacionado