La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) ha incorporado recientemente las vulnerabilidades de Mitel MiCollab (CVE-2024-41713 y CVE-2024-55550) y Oracle WebLogic Server (CVE-2020-2883) a su Catálogo de Vulnerabilidades Conocidas y Explotadas (KEV). Esta acción subraya la importancia de abordar estas amenazas con prontitud debido a su explotación activa en el mundo real.
Vulnerabilidades en Mitel MiCollab
Mitel MiCollab, una suite de colaboración empresarial ampliamente utilizada, presenta dos vulnerabilidades críticas:
CVE-2024-41713
Es una vulnerabilidad de recorrido de directorios que no requiere autenticación. Permite a los atacantes obtener acceso a información de aprovisionamiento, incluyendo datos de usuarios y redes no sensibles. Además, podría permitir la realización de acciones administrativas no autorizadas en el servidor MiCollab.
CVE-2024-55550
Tambien es una vulnerabilidad de recorrido de directorios, pero solo explotable por atacantes autenticados con privilegios administrativos. Aunque esta falla no permite modificar archivos ni escalar privilegios, podría otorgar acceso a recursos específicos y a información del sistema.
Ambas vulnerabilidades fueron reportadas por el investigador Sonny Macdonald del equipo watchTowr. En el caso de CVE-2024-41713, Mitel publicó un parche dos meses antes de que Macdonald compartiera detalles y un exploit de prueba. Por otro lado, CVE-2024-55550 aún no cuenta con un parche definitivo, pero Mitel mitigó parcialmente su impacto en la versión MiCollab 9.8 SP2 (9.8.2.12) y ha prometido abordar completamente el problema en futuras actualizaciones.
Vulnerabilidad en Oracle WebLogic Server
CVE-2020-2883, una vulnerabilidad identificada previamente en Oracle WebLogic Server, también ha sido añadida al catálogo KEV. Esta falla, calificada como “fácilmente explotable”, permite a atacantes no autenticados ejecutar código en el contexto de la cuenta de servicio mediante los protocolos IIOP o T3. Esto podría derivar en la compromisión total del servidor afectado.
Aunque la vulnerabilidad fue parcheada en abril de 2020, se trata de una evasión de un parche previo (CVE-2020-2555). La decisión de CISA de incluirla ahora en el catálogo podría estar relacionada con nuevos informes sobre su explotación activa.
Implicaciones para las organizaciones
Con la incorporación de estas tres vulnerabilidades al catálogo KEV, CISA insta a las agencias civiles federales de Estados Unidos a remediarlas dentro de un plazo de tres semanas. Aunque los detalles específicos de los ataques no han sido revelados, esta medida es un recordatorio contundente de la importancia de mantener una postura de seguridad proactiva.
Recomendaciones
- Actualizar los sistemas afectados: Las organizaciones deben instalar de inmediato los parches disponibles para Mitel MiCollab y Oracle WebLogic Server.
- Revisar boletines de seguridad: CISA también ha emitido recomendaciones sobre las vulnerabilidades CVE-2024-0012 y CVE-2024-9474, relacionadas con firewalls de Palo Alto Networks explotados como día cero en noviembre de 2024.
- Fortalecer la ciberseguridad: Implementar controles de acceso, monitorear actividades sospechosas y capacitar a los empleados son pasos esenciales para reducir el riesgo de explotación.
La constante evolución de las amenazas subraya la necesidad de una vigilancia activa y de actualizaciones regulares en las infraestructuras de TI. Las empresas deben priorizar la protección de sus activos digitales para mitigar el impacto de estas vulnerabilidades.