24 de agosto de 2024Ravie LakshmananVulnerabilidad / Seguridad gubernamental La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido una falla de seguridad que afecta a Versa Director en su catálogo de vulnerabilidades explotadas conocidas (KEV) basándose en evidencia de explotación activa. La vulnerabilidad de gravedad media, identificada como CVE-2024-39717 (puntuación CVSS: 6,6), es un caso de error de carga de archivos que afecta a la función «Cambiar favicon» que podría permitir que un actor de amenazas cargue un archivo malicioso haciéndole pasar por un archivo de imagen PNG aparentemente inofensivo. «La GUI de Versa Director contiene una carga de archivos sin restricciones con una vulnerabilidad de tipo peligroso que permite a los administradores con privilegios de administrador de centro de datos de proveedor o administrador de sistema de centro de datos de proveedor personalizar la interfaz de usuario», dijo CISA en un aviso. «La función ‘Change Favicon’ (icono de favoritos) permite cargar un archivo .png, que puede explotarse para cargar un archivo malicioso con una extensión .PNG disfrazado de imagen». Sin embargo, una explotación exitosa solo es posible después de que un usuario con privilegios Provider-Data-Center-Admin o Provider-Data-Center-System-Admin se haya autenticado e iniciado sesión correctamente. Si bien las circunstancias exactas que rodean la explotación de CVE-2024-39717 no están claras, una descripción de la vulnerabilidad en la Base de datos nacional de vulnerabilidades (NVD) del NIST indica que Versa Networks tiene conocimiento de una instancia confirmada en la que un cliente fue el objetivo. «Ese cliente no implementó las pautas de firewall que se publicaron en 2015 y 2017», afirma la descripción. «Esta falta de implementación dio como resultado que el actor malicioso pudiera explotar esta vulnerabilidad sin usar la GUI». Las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben tomar medidas para protegerse contra la falla aplicando correcciones proporcionadas por el proveedor antes del 13 de septiembre de 2024. El desarrollo se produce días después de que CISA agregara cuatro deficiencias de seguridad de 2021 y 2022 a su catálogo KEV: CVE-2021-33044 (puntuación CVSS: 9.8) – Vulnerabilidad de omisión de autenticación de cámara IP Dahua CVE-2021-33045 (puntuación CVSS: 9.8) – Vulnerabilidad de omisión de autenticación de cámara IP Dahua CVE-2021-31196 (puntuación CVSS: 7.2) – Vulnerabilidad de divulgación de información de Microsoft Exchange Server CVE-2022-0185 (puntuación CVSS: 8.4) – Vulnerabilidad de desbordamiento de búfer basado en montón de kernel de Linux Vale la pena señalar que un actor de amenazas vinculado a China con nombre en código UNC5174 (también conocido como Uteus o Uetus) se atribuyó a la explotación de CVE-2022-0185 por parte de Mandiant, propiedad de Google, a principios de marzo. CVE-2021-31196 se reveló originalmente como parte de un gran conjunto de vulnerabilidades de Microsoft Exchange Server, identificadas colectivamente como ProxyLogon, ProxyShell, ProxyToken y ProxyOracle. «CVE-2021-31196 se ha observado en campañas de explotación activas, donde los actores de amenazas apuntan a instancias de Microsoft Exchange Server sin parches», dijo OP Innovate. «Estos ataques generalmente tienen como objetivo obtener acceso no autorizado a información confidencial, escalar privilegios o implementar más cargas útiles como ransomware o malware». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.