Descripción

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó 10 nuevas vulnerabilidades de explotación activa (KEV) a su catálogo de vulnerabilidades el 25 de agosto, incluida una falla de seguridad altamente crítica que afecta el software de seguridad. Automatización Industrial de Delta Electronics.
 
El problema aparece como CVE-2021-38406 (puntaje CVSS: 7.8) y afecta las versiones 2.00.07 y anteriores de DOPSoft 2. La explotación exitosa de esta vulnerabilidad podría conducir a la ejecución de código arbitrario.

«Delta Electronics DOPSoft 2 carece de la validación adecuada de los datos suministrados por el usuario al analizar archivos de proyectos específicos (validación de entrada inadecuada), lo que da lugar a una escritura fuera de los límites que permite la ejecución de código»

Publicación de CISA en una alerta

En particular, CVE-2021-38406 se publicó originalmente como parte de un aviso de Sistemas de control industrial (ICS) publicado en septiembre de 2021. Sin embargo, no existe un parche para la vulnerabilidad, y CISA señala que "los productos afectados han llegado al final de su vida útil y deben abandonarse si todavía están en uso". 
 
No hay mucha información disponible sobre la naturaleza de los ataques que explotan la vulnerabilidad, pero un informe reciente de la Unidad 42 de Palo Alto Networks señaló ataques salvajes que explotaron la vulnerabilidad entre febrero de 2022 y abril de 2022. Este hecho se suma a la idea de que a medida que se conocen las vulnerabilidades recién liberadas, los atacantes las explotan cada vez más rápido.
 
Estos ataques suelen ser personalizados, específicos para su uso, incluidos web shells, mineros de criptomonedas, botnets y troyanos de acceso remoto (RAT), seguidos de intermediarios de acceso inicial (IAB) que allanan el camino para el ransomware. Los errores activos que se han agregado a la lista incluyen:

  • CVE-2022-26352 – Vulnerabilidad de carga no restringida de archivos en dotCMS
  • CVE-2022-24706 – Vulnerabilidad en la inicialización por defecto de recursos de Apache CouchDB
  • CVE-2022-24112 – Vulnerabilidad en la evasión de la autenticación de Apache APISIX
  • CVE-2022-22963 – Vulnerabilidad en la ejecución remota de código de VMware Tanzu Spring Cloud Function
  • CVE-2022-2294 – Vulnerabilidad de desbordamiento del búfer de WebRTC
  • CVE-2021-39226 – Vulnerabilidad de elusión de autenticación en Grafana
  • CVE-2020-36193 – Vulnerabilidad en la resolución de enlaces inadecuados de PEAR Archive_Tar
  • CVE-2020-28949 – Vulnerabilidad en la deserialización de datos no fiables en PEAR Archive_Tar

iOS y macOS añadidos a la lista

Otro error muy grave agregado al catálogo de KEV es CVE-2021-31010 (puntaje CVSS: 7.5), un problema de deserialización en el componente de telefonía central de Apple que se puede usar para eludir las restricciones de sandbox.
 
El gigante tecnológico corrige las vulnerabilidades en iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (con la actualización de seguridad 2021-005 Catalina) y watchOS 7.6.2, que se lanzaron en septiembre de 2021. Aunque no había indicios de que se explotara la vulnerabilidad en ese momento, parece que Apple realizó una prueba el 25 de mayo de 2022 para detectar la vulnerabilidad y confirmar que efectivamente se usó en el ataque.
 
La actualización de septiembre también se destaca por corregir CVE-2021-30858 y CVE-2021-30860, que son utilizados por NSO Group, los creadores del infame Pegasus, para eludir las funciones de seguridad del sistema operativo. Esto plantea la posibilidad de que CVE-2021-31010 pueda estar relacionado con las dos fallas anteriores en la cadena de ataque para evitar el sandboxing y lograr la ejecución de código arbitrario.

 


© Copyright. Todos los derechos reservados.