Descripción general La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado un informe de asesoramiento crítico que destaca las vulnerabilidades agregadas recientemente al catálogo de vulnerabilidades explotadas conocidas (KEV). Estas vulnerabilidades plantean riesgos para las organizaciones y requieren atención inmediata. CISA clasifica las vulnerabilidades según los estándares de nomenclatura de vulnerabilidades y exposiciones comunes (CVE) y el sistema de puntuación de vulnerabilidad común (CVSS). Este sistema clasifica las vulnerabilidades en categorías altas, medias y bajas. A las vulnerabilidades altas se les asignan puntuaciones que van de 7,0 a 10,0; las vulnerabilidades medias reciben puntuaciones entre 4,0 y 6,9, y las vulnerabilidades bajas, entre 0,0 y 3,9. El aviso describe vulnerabilidades específicas y los productos a los que afectan, incluidos SolarWinds, Mozilla Firefox y Microsoft Windows. Detalles de la vulnerabilidad Una de las vulnerabilidades críticas identificadas es CVE-2024-28987, que afecta al software SolarWinds Web Help Desk (WHD), específicamente a la versión 12.8.3 HF1 y todas las versiones anteriores. Esta vulnerabilidad está clasificada como crítica, con una puntuación CVSS de 9,1. Permite a usuarios remotos no autenticados acceder a funcionalidades internas y modificar datos debido a credenciales codificadas en el software. Los exploits públicos de prueba de concepto para esta vulnerabilidad están disponibles fácilmente, lo que destaca su gravedad. Según el escáner ODIN de Cyble, se han identificado aproximadamente 920 instancias de SolarWinds WHD conectadas a Internet, principalmente ubicadas en los Estados Unidos. Otra vulnerabilidad, CVE-2024-9680, afecta a varias versiones de Firefox y Thunderbird y tiene una puntuación CVSS crítica de 9,8. Esta vulnerabilidad surge de una falla de uso después de la liberación en las líneas de tiempo de animación, que permite a un atacante ejecutar código arbitrario. Mozilla ha reconocido informes sobre esta vulnerabilidad siendo explotada en estado salvaje, enfatizando aún más la necesidad de una solución inmediata. La tercera vulnerabilidad, CVE-2024-30088, afecta a varios productos de Windows, incluido Windows Server 2016 y varias versiones de Windows 10 y 11. Tiene una puntuación CVSS de 7,0, clasificándola como de gravedad alta. Esta vulnerabilidad explota una condición de carrera dentro del kernel de Windows, lo que permite a los atacantes obtener privilegios del SISTEMA. Los investigadores de Trend Micro han informado haber observado que el grupo APT34 de amenazas persistentes avanzadas (APT) aprovecha esta vulnerabilidad para escalar privilegios en sistemas específicos. Recomendaciones Las organizaciones deben aplicar los parches más recientes de los proveedores oficiales. Establezca un cronograma de rutina para actualizar periódicamente todos los sistemas de software y hardware. Asegúrese de que las actualizaciones críticas tengan prioridad para su aplicación inmediata a fin de reducir la exposición a exploits. Aísle los activos sensibles de áreas menos seguras para minimizar el riesgo y reducir la superficie de ataque. Implemente firewalls, redes de área local virtuales (VLAN) y controles de acceso para limitar la exposición a amenazas. Desarrollar y actualizar periódicamente un plan de respuesta a incidentes para detectar, responder y recuperarse de incidentes de seguridad. Realice pruebas periódicas del plan de respuesta a incidentes para garantizar su eficacia frente a las amenazas en evolución. Utilice soluciones integrales de monitoreo y registro para detectar y analizar actividades sospechosas en toda la red. Utilice sistemas de gestión de eventos e información de seguridad (SIEM) para la detección y respuesta a amenazas en tiempo real mediante la agregación y correlación de registros. Identifique y planifique de manera proactiva las actualizaciones o reemplazos oportunos de productos al final de su vida útil (EOL) para mitigar los riesgos asociados. Conclusión La adición de estas vulnerabilidades al catálogo KEV de CISA resalta la necesidad urgente de que las organizaciones las aborden de inmediato. El hecho de que estas vulnerabilidades se exploten activamente significa que las organizaciones con sistemas afectados enfrentan mayores riesgos, incluidas posibles violaciones de datos, ataques de ransomware y escalada de privilegios. Las organizaciones deben parchear rápidamente estas vulnerabilidades para proteger sus sistemas de actores maliciosos. Siguiendo estas recomendaciones, las organizaciones pueden fortalecer significativamente su ciberseguridad y protegerse contra vulnerabilidades críticas. Relacionado