La agencia de seguridad estadounidense de ciberseguridad e infraestructura (CISA) ha agregado tres fallas (CVE-2023-1389, CVE-2023-45046, CVE-2023-21839), a su catálogo de vulnerabilidades explotadas conocidas (KEV) el cual se basa en evidencias de explotación activa.
Este tipo de vulnerabilidades son vectores frecuentes de ataque de los actores maliciosos y representan un riesgo significante a las empresas federales. Las tres vulnerabilidades agregadas se describen a continuación:
- CVE-2023-1389: Vulnerabilidad de inyección de comandos en firmware TP-Link Archer AX21, previo a la versión 1.1.4. en el formulario de país del endpoint /cgi-bin/luci;stok=/locale de la interfaz de gestión web. Con severidad de CVSS: 8.8.
- CVE-2021-45046: Vulnerabilidad en la deserialización de datos no fiables de Apache Log4j2. Con severidad de CVSS: 9.0.
- CVE-2023-21839: Vulnerabilidad en el servidor de Oracle WebLogic, producto de Oracle Fusion Middleware. Con severidad de CVSS: 7.5.
En cuanto a la primera vulnerabilidad arriba listadas, se sabe que CVE-2023-1389 se trata de un caso de inyección de comandos que afecta directamente los routers TP-Link Archer AX-21, la explotación de esta vulnerabilidad permitiría a los actores maliciosos lograr ejecución de código remoto.
En cuanto a la segunda vulnerabilidad listada. Se trata de una vulnerabilidad que de ser explotada permitiría la ejecución de código remoto, afectado así la biblioteca de registro de Apache Log4j2. Esta vulnerabilidad si bien se sabe está siendo activamente explotada, se registró en diciembre de 2021. Si bien no está claro cómo es que se está haciendo uso de esta vulnerabilidad específica, los datos recopilados muestran pruebas de intentos de explotación desde 74 direcciones IP únicas en los últimos 30 días.
La última vulnerabilidad listada se ha rastreado como CVE-2023-21839, la cual se aprovecha de una falla en el servidor de Oracle WebLogic, específicamente las versiones 12.2.1.3.0, 12.2.1.4.0, and 14.1.1.0.0. Lo que permitiría el acceso no autorizado a información sensible. Si bien la vulnerabilidad no ha sido especificada, se sabe que permitiría a un atacante no autenticado, con acceso a la red vía protocolo de red T3/IIOP, comprometer los servidores de Oracle WebLogic.
Una atacante puede explotar esta vulnerabilidad enviando una solicitud específicamente elaborada a un servidor vulnerable de WebLogic y cargar un archivo a través de un servidor LDAP, lo que permitiría a un atacante ejecutar un Shell reverso en los objetivos y así tomar control de los sistemas.
Si bien existen pruebas de concepto (PoC) para explotar el fallo, no se ha observado ningún reporte público de explotación maliciosa.
