La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) agregó el jueves tres fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV, por sus siglas en inglés) basadas en evidencia de explotación activa en la naturaleza.
Las vulnerabilidades son las siguientes:
- CVE-2023-36584 (puntuación CVSS: 5,4) – Vulnerabilidad de omisión de funciones de seguridad Mark-of-the-Web (MotW) de Microsoft Windows
- CVE-2023-1671 (puntuación CVSS: 9,8) – Vulnerabilidad de inyección de comandos de Sophos Web Appliance
- CVE-2020-2551 (puntuación CVSS: 9,8) – Vulnerabilidad no especificada de Oracle Fusion Middleware
CVE-2023-1671 se relaciona con una vulnerabilidad crítica de inyección de comandos previos a la autenticación que permite la ejecución de código arbitrario. CVE-2020-2551 es una falla en los componentes principales de WLS que permite que un atacante no autenticado con acceso a la red ponga en peligro el servidor WebLogic.
Actualmente no hay informes públicos que documenten ataques en la naturaleza aprovechando CVE-2023-1671, pero Cybernews reveló en julio de 2023 que había identificado un subdominio de la Universidad de Harvard: courses.my.harvard[.] edu: que era susceptible a CVE-2020-2551.
Por otro lado, la incorporación de CVE-2023-36584 al catálogo de KEV se basa en un informe de la Unidad 42 de Palo Alto Networks a principios de esta semana, que detallaba los ataques de spear-phishing montados por el grupo APT prorruso conocido como Storm-0978 (también conocido como RomCom o Void Rabisu) dirigidos a grupos que apoyaban la admisión de Ucrania en la OTAN en julio de 2023.
Se dice que CVE-2023-36584, parcheado por Microsoft como parte de las actualizaciones de seguridad de octubre de 2023, se ha utilizado junto con CVE-2023-36884, una vulnerabilidad de ejecución remota de código de Windows abordada en julio, en una cadena de exploits para entregar PEAPOD, una versión actualizada de RomCom RAT.
A la luz de la explotación activa, se recomienda a las agencias federales que apliquen las correcciones antes del 7 de diciembre de 2023 para proteger sus redes contra posibles amenazas.
