CISA agregó 12 fallas de seguridad más a su lista de errores explotados en ataques, incluidas dos vulnerabilidades críticas de D-Link y dos (ahora parcheadas) de día cero en Google Chrome y el software Photo Station QNAP.
El día cero de Google Chrome (CVE-2022-3075) se parchó el 2 de septiembre a través de una actualización de seguridad de emergencia después de que la empresa se enterara de la explotación en estado salvaje.
El lunes, el fabricante de dispositivos de almacenamiento conectado a la red (NAS) de QNAP advirtió a sus clientes que corrigió un error de día cero en el software Photo Station ampliamente utilizado , rastreado como CVE-2022-27593, y explotado activamente en ataques generalizados de ransomware DeadBolt.
Por último, pero no menos importante, las dos fallas críticas de seguridad de D-Link (CVE-2022-28958 y CVE-2022-26258) están siendo atacadas por la red de bots Moobot basada en Mirai para obtener la ejecución remota de código y hacerse cargo de los dispositivos sin parches.
Después de ser agregado a CISA a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) ahora deben parchear sus sistemas contra estos errores de seguridad explotados en la naturaleza de acuerdo con una directiva operativa vinculante (BOD 22-01) publicado en noviembre.
Las agencias federales tenían tres semanas, hasta el 29 de septiembre, para garantizar que se bloquearan los intentos de explotación.
CVE | Nombre de vulnerabilidad | Fecha de vencimiento |
| CVE-2022-3075 | Vulnerabilidad de validación de datos insuficientes de Google Chromium | 2022-09-29 |
| CVE-2022-28958 | Vulnerabilidad de ejecución remota de código D-Link DIR-816L | 2022-09-29 |
| CVE-2022-27593 | Vulnerabilidad de referencia controlada externamente de Photo Station de QNAP | 2022-09-29 |
| CVE-2022-26258 | Vulnerabilidad de ejecución remota de código D-Link DIR-820L | 2022-09-29 |
| CVE-2020-9934 | Vulnerabilidad de validación de entrada de Apple iOS, iPadOS y macOS | 2022-09-29 |
| CVE-2018-7445 | Vulnerabilidad de desbordamiento de búfer basado en pila de MikroTik RouterOS | 2022-09-29 |
| CVE-2018-6530 | Vulnerabilidad de inyección de comando de sistema operativo de enrutadores múltiples de D-Link | 2022-09-29 |
| CVE-2018-2628 | Vulnerabilidad no especificada del servidor Oracle WebLogic | 2022-09-29 |
| CVE-2018-13374 | Vulnerabilidad de control de acceso inadecuado de Fortinet FortiOS y FortiADC | 2022-09-29 |
| CVE-2017-5521 | Exposición de información confidencial en varios dispositivos de NETGEAR | 2022-09-29 |
| CVE-2011-4723 | Vulnerabilidad de almacenamiento de texto sin cifrar de una contraseña en el enrutador D-Link DIR-300 | 2022-09-29 |
| CVE-2011-1823 | Vulnerabilidad de escalada de privilegios del sistema operativo Android | 2022-09-29 |
Aunque el BOD 22-01 del DHS solo se aplica a las agencias FCEB de EE. UU., la agencia de seguridad cibernética también insta encarecidamente a las organizaciones de EE. UU. en los sectores público y privado a priorizar la corrección de estos errores.
Si se toma en serio este consejo y se aplican parches lo antes posible, es probable que se reduzca significativamente la superficie de ataque que los atacantes podrían usar para intentar vulnerar sus redes.
Desde que se emitió esta directiva vinculante en noviembre, CISA ha agregado más de 800 fallas de seguridad a su catálogo de errores explotados en ataques, lo que requiere que las agencias federales los corrijan en un cronograma más ajustado para bloquear las brechas de seguridad.
Se recomienda enfáticamente que todos los profesionales y administradores de seguridad revisen el catálogo KEV de CISA y corrijan los errores enumerados dentro de su entorno.
