CISA ordena a las agencias parchear las fallas de Chrome y D-Link utilizadas en los ataques

Cisa-thegem-blog-default-min

CISA agregó 12 fallas de seguridad más a su lista de errores explotados en ataques, incluidas dos vulnerabilidades críticas de D-Link y dos (ahora parcheadas) de día cero en Google Chrome y el software Photo Station QNAP.

El día cero de Google Chrome (CVE-2022-3075) se parchó el 2 de septiembre a través de una actualización de seguridad de emergencia después de que la empresa se enterara de la explotación en estado salvaje.

El lunes, el fabricante de dispositivos de almacenamiento conectado a la red (NAS) de QNAP advirtió a sus clientes que  corrigió un error de día cero en el software Photo Station ampliamente utilizado , rastreado como CVE-2022-27593, y explotado activamente en ataques generalizados de ransomware DeadBolt.

Por último, pero no menos importante, las dos fallas críticas de seguridad de D-Link (CVE-2022-28958 y CVE-2022-26258)  están siendo atacadas por la red de bots Moobot basada en Mirai  para obtener la ejecución remota de código y hacerse cargo de los dispositivos sin parches.

Después de ser agregado a CISA a su  catálogo de Vulnerabilidades Explotadas Conocidas  (KEV), todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) ahora deben parchear sus sistemas contra estos errores de seguridad explotados en la naturaleza de acuerdo con una  directiva operativa vinculante (BOD 22-01)  publicado en noviembre.

Las agencias federales tenían tres semanas, hasta el 29 de septiembre, para garantizar que se bloquearan los intentos de explotación.

CVE

Nombre de vulnerabilidad

Fecha de vencimiento

CVE-2022-3075 Vulnerabilidad de validación de datos insuficientes de Google Chromium 2022-09-29
CVE-2022-28958 Vulnerabilidad de ejecución remota de código D-Link DIR-816L 2022-09-29
CVE-2022-27593 Vulnerabilidad de referencia controlada externamente de Photo Station de QNAP 2022-09-29
CVE-2022-26258 Vulnerabilidad de ejecución remota de código D-Link DIR-820L 2022-09-29
CVE-2020-9934 Vulnerabilidad de validación de entrada de Apple iOS, iPadOS y macOS 2022-09-29
CVE-2018-7445 Vulnerabilidad de desbordamiento de búfer basado en pila de MikroTik RouterOS 2022-09-29
CVE-2018-6530 Vulnerabilidad de inyección de comando de sistema operativo de enrutadores múltiples de D-Link 2022-09-29
CVE-2018-2628 Vulnerabilidad no especificada del servidor Oracle WebLogic 2022-09-29
CVE-2018-13374 Vulnerabilidad de control de acceso inadecuado de Fortinet FortiOS y FortiADC 2022-09-29
CVE-2017-5521 Exposición de información confidencial en varios dispositivos de NETGEAR  2022-09-29
CVE-2011-4723 Vulnerabilidad de almacenamiento de texto sin cifrar de una contraseña en el enrutador D-Link DIR-300 2022-09-29
CVE-2011-1823 Vulnerabilidad de escalada de privilegios del sistema operativo Android 2022-09-29
Se insta a todas las organizaciones a priorizar estas actualizaciones de seguridad

Aunque el BOD 22-01 del DHS solo se aplica a las agencias FCEB de EE. UU., la agencia de seguridad cibernética también insta encarecidamente  a las organizaciones de EE. UU. en los sectores público y privado a priorizar la corrección de estos errores.

Si se toma en serio este consejo y se aplican parches lo antes posible, es probable que se reduzca significativamente la superficie de ataque que los atacantes podrían usar para intentar vulnerar sus redes.

Desde que se emitió esta directiva vinculante en noviembre, CISA ha agregado más de 800 fallas de seguridad a su catálogo de errores explotados en ataques, lo que requiere que las agencias federales los corrijan en un cronograma más ajustado para bloquear las brechas de seguridad.

Se recomienda enfáticamente que todos los profesionales y administradores de seguridad revisen el catálogo KEV de CISA y corrijan los errores enumerados dentro de su entorno.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.